Файл: Системы предотвращения утечек конфиденциальной информации DLP.pdf
Добавлен: 18.06.2023
Просмотров: 91
Скачиваний: 3
Zgate может интегрироваться с Microsoft Forefront TMG (Microsoft ISA Server) и любым прокси-сервером, поддерживающим ICAP (протокол адаптации контента Интернета): Blue Coat, Cisco ACNS, Squid и т. Д.
Система Zgate совместима со всеми системами обмена сообщениями (MTA) и контролирует письма и вложения, отправляемые через Microsoft Exchange Server, IBM Lotus Domino, CommuniGate Pro и т. Д.
Zgate поддерживает анализ более 500 форматов файлов, включая Microsoft Office, OpenOffice.org, изображения, а также обработку архивов заданного уровня вложенности..
Все пересылаемые письма, сообщения и файлы помещаются в специальный архив, не имеющий ограничений по объему и сроку хранения данных.
В установку Zgate включено более 50 шаблонов, с помощью которых можно определять конфиденциальные данные. Это существенно сокращает трудозатраты при внедрении.
Для настройки защиты информации в Zgate используются специальные политики безопасности, имеющие до 30 различных параметров.
Управление Zgate осуществляется через единую систему управления DLP-решениями Zconsole, которая также поддерживает управление Zlock и Zserver Suite.
Технологии обнаружения конфиденциальной информации
• DocuPrints. Технология DocuPrints работает по принципу «цифровых отпечатков» и основана на сравнении анализируемых документов с предварительно созданной базой цифровых отпечатков конфиденциальных документов. Сравнение определяет вероятность того, что документ содержит конфиденциальную информацию.
Чтобы начать использовать технологию DocuPrints, все, что вам нужно сделать, это установить местоположение ваших конфиденциальных документов, и Zgate самостоятельно создаст базу данных отпечатков пальцев и автоматически обновит ее.
• MorphoLogic. Технология MorphoLogic с использованием морфологического анализа проверяет передаваемые данные для получения конфиденциальной информации.
Технология MorphoLogic реализована аналогично методам, используемым в поисковых системах, и позволяет анализировать текст на основе различных грамматических форм слов.
• SmartID. Интеллектуальная технология SmartID - это разработка SECURIT, которая после первоначального «обучения» может начать самостоятельно определять передачу конфиденциальных данных.В процессе работы работы SmartID накапливает "опыт" анализа и категоризации данных и с каждым разом повышает точность категоризации.
Точность работы SmartID уже после первой недели работы обычно составляет более 95 %.[12].
2.4 Zlock
Система Zlock позволяет гибко настраивать права доступа к портам и устройствам и минимизировать риск утечки информации, связанной с несанкционированным использованием внешних устройств, в первую очередь USB-накопителей.
По разным оценкам, от 60 до 80% атак, направленных на получение информации ограниченного доступа, начинаются с локальной сети предприятия (интранета).
Проблема внутренних угроз приобрела особую актуальность в связи с появлением и распространением мобильных устройств хранения информации, подключаемых через USB-порты: флеш-накопителей, жестких дисков с USB-интерфейсом и т. Д.
Для предотвращения утечек корпоративных документов через мобильные устройства, прежде всего USB-накопители, может быть использована разработка SECURIT - DLP-системы Zlock. Zlock позволяет предотвратить утечку конфиденциальной информации через периферийные устройства, гибко настраивая политики доступа, анализируя содержимое передаваемых файлов и блокируя несанкционированное копирование документов.
Для каждого типа устройств Zlock предлагает возможность гибкой настройки прав доступа на основе списков контроля доступа (ACL). Вы можете разрешить полный доступ, чтение или запрет доступа для любого физического или логического устройства и для любого пользователя или группы пользователей из Active Directory. Инструмент анализа контента позволяет настроить управление копированием файлов на мобильные диски и чтением с них по типу файла и содержимому передаваемых документов.
Подключенные устройства могут распознаваться по любым символам, таким как класс устройства, код производителя, код устройства, серийный номер и т. Д. Это позволяет назначать разные права доступа для устройств одного и того же класса, например запрещает использование USB-накопителей, но также позволяет использовать USB-ключи. аутентифицировать пользователя.
Система SECURIT Zlock обеспечивает надежную защиту данных компании от утечки внешних носителей через:
разграничения доступа к любым внешним устройствам и портам рабочих станций. [13].
Политики доступа
Разграничение доступа к внешним устройствам в Zlock основано на политиках доступа. Политика доступа - это логическая концепция, которая связывает описания устройств и права доступа к ним.
Права доступа могут быть следующими:
- Полный доступ;
- Доступ только для чтения;
- Доступ запрещен.
Права доступа могут применяться ко всем и иметь индивидуальные настройки для пользователей или групп пользователей на основе ACL (аналогично разграничению прав доступа к папкам или файлам в Windows).
Политики доступа могут быть установлены по типу файла для ограничения операций с документами определенного формата (для USB-устройств). Zlock поддерживает более 500 наиболее распространенных корпоративных форматов файлов, включая Microsoft Office и OpenOffice.org.
Установив политики для содержимого передаваемых документов, вы можете открыть полный доступ к устройствам, ограничив запись, чтение или печать файлов, содержащих конфиденциальную информацию (для USB-устройств и принтеров). Политики могут иметь временной интервал или быть одноразовыми. Это позволяет, например, давать разные права доступа в рабочее и нерабочее время либо разрешить однократный доступ к устройству (доступ прекратится, как только пользователь извлечет устройство).
В системе Zlock есть особый вид политики - это «политика по умолчанию». Он описывает права доступа к устройствам, которые по тем или иным причинам не охватываются другими политиками. Например, вы можете использовать эту политику, чтобы запретить использование всех USB-устройств по умолчанию, и использовать общую политику, чтобы разрешить использование определенного устройства.
Кроме того, в Zlock реализована возможность устанавливать специальные политики доступа в зависимости от того, подключен ли компьютер напрямую к сети, подключен ли он через VPN или автономно. Это расширяет контроль доступа к устройствам, например, автоматически блокирует доступ ко всем внешним устройствам на ноутбуке, когда они отключены от корпоративной сети.
В то же время в Zlock каждая политика имеет свой собственный приоритет, который позволяет вам определить, какие права доступа будут применяться, если одно устройство описано в нескольких политиках одновременно и имеет разные права доступа там. [14].
Поддерживаемые устройства
Система Zlock позволяет разграничивать доступ к следующим видам устройств:
любые USB-устройства - flash-накопители, цифровые камеры и аудиоплееры, карманные компьютеры и т.д.;
локальные и сетевые принтеры;
внутренние устройства - контроллеры Wi-Fi, Bluetooth, IrDA, сетевые карты и модемы, FDD-, CD - и DVD-дисководы, жесткие диски;
порты LPT, COM и IEEE 1394;
любые устройства, имеющие символическое имя.
В Zlock есть возможность создать каталог устройств, который будет хранить всю информацию об устройствах сети и позволит создавать политики на основе этих данных.
Контентный анализ
При записи документов на USB-устройства, чтении с них и печати на принтерах Zlock может анализировать содержимое файлов, обнаруживать в них конфиденциальные данные и блокировать действия пользователя в случае нарушения правил безопасности.
Для обнаружения конфиденциальной информации в файлах используется гибридный анализ - набор технологий для обнаружения данных различных типов:
Технология MorphoLogic с использованием морфологического анализа - позволяет изучать текст динамических и вновь создаваемых документов с учетом различных грамматических форм слов.
Шаблоны регулярного выражения - особенно эффективны при поиске конфиденциальной информации о структурированной структуре, в частности личных данных.
Поиск по словарю - позволяет выявлять данные по определенным категориям, которые необходимы для организации различных видов деятельности.
Анализ замаскированного текста и транслитерации.
Удаленное управление
Дистанционное управление системой Zlock осуществляется через единую консоль для решений SecurIT. Используя его, администратор может устанавливать клиентские части, создавать и распространять политики Zlock, отслеживать рабочие станции и просматривать данные теневых копий.
При необходимости клиентские части могут быть установлены на рабочих станциях пользователей без перезагрузки компьютеров, что позволяет ускорить внедрение и сделать его невидимым для пользователей.
В системе Zlock существует возможность ограничения доступа к функциям управления для администраторов. Это позволяет, в частности, разделить функции администратора безопасности, который выполняет весь комплекс действий по управлению системой, и аудитора, который имеет право только просматривать события и данные теневого копирования, собранные системой. [14].
В Zlock для обычных пользователей предусмотрена возможность послать администратору запрос на доступ к определенному устройству. На основе запроса администратор безопасности может создать политику, разрешающую доступ к устройству. Это обеспечивает максимально оперативное реагирование на запросы пользователей и простоту адаптации политики безопасности к нуждам бизнес-процессов.
Взаимодействие с Active Directory
Zlock тесно интегрирован с Active Directory. В Zlock можно загрузить структуру домена и список компьютеров в корпоративной сети. Таким образом, вы можете повысить удобство использования системы и ее масштабируемость.
Вы можете не только развертывать и управлять Zlock через консоль управления Zlock, но вы также можете использовать групповую политику Active Directory.
Групповая политика позволяет устанавливать, удалять и обновлять Zlock, а также распространять политики доступа и системные настройки.
С помощью этой функции вы можете упростить внедрение и использование системы в крупных корпоративных сетях. Кроме того, возможности управления Zlock расширяются в компаниях с общими информационными технологиями и службами информационной безопасности - сотруднику службы безопасности необязательно иметь привилегии локального администратора на компьютерах пользователей, поскольку внедрение и управление системой осуществляется средствами домена.
Мониторинг
В Zlock существует возможность мониторинга клиентских рабочих станций. Данная функция предусматривает периодический опрос клиентских модулей Zlock и выдачу предупреждений в случае попытки несанкционированного отключения Zlock на рабочей станции, изменения настроек или политик доступа.
Реакция на эти события может настраиваться с помощью подключаемых сценариев (скриптов) на языках VBscript или Jscript. С использованием таких сценариев можно выполнять любые действия - посылать уведомления по электронной почте, запускать или останавливать приложения, и т.д.
Сбор событий и их анализ
Система Zlock реализует расширенный функционал по ведению и анализу журнала событий. В журнал записываются все существенные события, в том числе:
- подключение и отключение устройств;
- изменение политик доступа;
- операции с файлами (чтение, запись, удаление и переименование файлов) на контролируемых устройствах.
В состав Zlock входит средство для анализа журналов, которое обеспечивает формирование запросов любых видов и вывод результатов в формате HTML. Кроме этого, использование для журнала универсальных форматов хранения данных позволяет воспользоваться любыми сторонними средствами анализа и построения отчетов.
Предоставление доступа к устройствам по телефону
В Zlock реализована возможность разрешить пользователям доступ к устройствам, используя лишь телефонную связь с администратором Zlock. Это необходимо в тех случаях, когда пользователю нужно срочно получить доступ к определенному устройству или группе устройств, а он находится не в корпоративной сети. В такой ситуации сотрудник компании и администратор просто обмениваются секретными кодами, в результате чего создаются и применяются новые политики доступа.
При этом администратор Zlock может создать как постоянно действующую, так и временную политику, которая перестанет действовать после отключения устройства, завершения сеанса Windows или по истечении заданного времени. Это позволит более оперативно реагировать на запросы пользователей в безотлагательных ситуациях и соблюдать разумный баланс между безопасностью и бизнесом.
Архив (теневое копирование)
В Zlock вы можете автоматически архивировать (теневое копирование, - теневое копирование) файлы, которые пользователи записывают на внешние диски. Это позволяет контролировать ситуацию, даже если пользователь может записывать на внешние устройства, поскольку администратор безопасности всегда будет точно знать, какую информацию сотрудник записывает на внешние диски.