Утечки корпоративных данных могут происходить как случайно и непредумышленно, так и в результате умышленных действий сотрудников и иных пользователей корпоративных информационных систем с целью неправомерного копирования конфиденциальной и важной информации с их рабочих компьютеров на флеш-накопители, смартфоны и карманные компьютеры, CD/DVD и другие виды внешних носителей данных. Кроме того, данные могут бесконтрольно передаваться через электронную почту, службы мгновенного обмена сообщениями, веб-формы, социальные сети и сессии telnet. Беспроводные интерфейсы, такие, как Wi-Fi, Bluetooth и Infrared открывают дополнительные пути для утечек ценной информации с пользовательских компьютеров организации.
В то время, как ни одна из этих уязвимостей не устраняется ни встроенными средствами контроля ОС Windows, ни традиционными механизмами сетевой безопасности, программный комплекс DeviceLock Endpoint Data Leak Prevention (DLP) Suite надежно защищает корпоративные компьютеры от утечек данных с пользовательских компьютеров и серверов корпоративных информационных систем, обеспечивая централизованный контроль и протоколирование доступа пользователей к периферийным устройствам, локальным портам ввода-вывода, сетевым протоколам и коммуникационным приложениям, а также контентную фильтрацию передаваемых данных. Комплекс обеспечивает проактивную защиту от утечек корпоративных данных на рабочих компьютерах сотрудников, что существенно снижает риски бизнеса и финансовые потери от их ошибок, халатности или злоумышленных действий инсайдеров или других лиц, имеющих доступ к рабочим станциям.
Комплекс DeviceLock Endpoint DLP Suite состоит из взаимодополняющих функциональных модулей – DeviceLock, NetworkLock, ContentLock и DeviceLock Search Server (DLSS). Выборочное лицензирование модулей позволяет оптимальным образом удовлетворить требования организаций по защите от утечек данных с пользовательских компьютеров и серверов корпоративных информационных сетей и минимизировать расходы на приобретение и эксплуатацию DLP-решений.
Основные функции и возможности DeviceLock® Endpoint DLP Suite
Контроль доступа к устройствам и интерфейсам. DeviceLock обеспечивает контроль доступа пользователей и групп к портам ввода-вывода (USB, FireWire, COM, LPT, IrDA), адаптерам WiFi и Bluetooth, любым типам принтеров (локальные, сетевые и виртуальные), мобильным устройствам (BlackBerry, iPhone/iPad, устройствам под управлением ОС Windows Mobile и Palm), а также дисководам, CD/DVD/BD-приводам, любым сменным носителям и устройствам Plug-and-Play. Для любого типа устройства или порта можно задать доступ в зависимости от времени и дня недели, а также задать тип доступа «только чтение» для сменных носителей, дисководов, жестких дисков, CD/DVD-приводов, КПК и ленточных накопителей.
Контроль сетевых коммуникаций. Компонент NetworkLock распознает сетевые протоколы независимо от используемых портов, обеспечивает детектирование коммуникационных приложений и их селективную блокировку, реконструкцию сообщений и сессий с восстановлением файлов, данных и параметров, а также событийное протоколирование и теневое копирование передаваемых данных. NetworkLock позволяет контролировать коммуникации пользователей через популярные сетевые приложения, включая передачу почтовых сообщений по открытым и SSL-защищенным SMTP-сессиям (с раздельным контролем сообщений и вложений), web-доступ и другие HTTP/HTTPS-приложения, web-почту Gmail™, Yahoo! Mail™, Windows Live® Mail, AOL Mail, Яндекс-Почта, Mail.ru и др., мессенджеры ICQ®, MSN® Messenger, Jabber®, Mail.ru Agent и др., социальные сети Google+, Twitter™, Facebook®, LiveJournal™, LinkedIn®, MySpace™, Одноклассники™, ВKонтакте™ и др., передачу файлов по протоколам FTP и FTP-SSL, a также Telnet-сессии.
Контентная фильтрация. Компонент ContentLock обеспечивает контентную фильтрацию данных, копируемых на съемные устройства хранения данных, а также передаваемых по сетевым каналам персонального компьютера, контролируемым модулем NetworkLock. Распознавая более чем 80 типов форматов файлов и данных, ContentLock извлекает и отфильтровывает содержимое (контент) данных из файлов и объектов, включая передаваемые в службах мгновенных сообщений, веб-формах, социальных сетях и т.д. ContentLock обеспечивает фильтрацию потоков данных, основываясь на созданных администратором шаблонах регулярных выражений (RegExp) с различными численными и логическими условиями соответствия шаблона критериям и ключевым словам. Среди более чем 50 параметров, которые можно использовать для задания таких шаблонов, присутствуют такие, как пользователи, компьютеры, группы пользователей, порты и интерфейсы, устройства, типы каналов и направление передачи данных, диапазоны дат и времени и многие другие.
Защита от локального администратора. Функция DeviceLock Administrators обеспечивает необходимый уровень защиты, даже если пользователи в сети имеют административные привилегии на локальных компьютерах. Когда защита DeviceLock включена, никто, кроме авторизованных администраторов, не может подключиться к агенту, остановить или удалить его. Даже члены локальной группы Администраторы (если они не входят в список авторизованных администраторов DeviceLock) не могут обойти защиту.
Централизованное управление. Полная интеграция централизованного управления DeviceLock в групповые политик Windows позволяет автоматически устанавливать DeviceLock на новые компьютеры, подключаемые к корпоративной сети, и осуществлять настройку политик контроля доступа, аудита и теневого копирования и других настроек Агентов DeviceLock для новых компьютеров в автоматическом режиме. Наиболее популярная среди пользователей консоль управления DeviceLock представляет собой оснастку для Microsoft Management Console (MMC), встраиваемую в стандартную оснастку Group Policy, которая входит в состав Windows 2000 и более поздних операционных систем. Благодаря привычному и интуитивно понятному для сетевых администраторов интерфейсу управление DeviceLock является крайне простым и не требует написания дополнительных скриптов, изменения схемы домена или шаблонов ADO. В дополнении к оснастке MMC для групповых политик, предусмотрена дополнительная консоль с собственным интерфейсом — DeviceLock Enterprise Manager, которая позволяет централизованно управлять любыми компьютерами, выбирая их напрямую из служб каталогов LDAP (таких как Novell eDirectory, Open LDAP и т.п.). Агенты могут быть установлены на удаленные компьютеры с уже определенными политиками безопасности (настройками) путем развертывания специально созданного установочного пакета Microsoft Installer (MSI). Такой MSI-пакет создается администратором при помощи стандартной консоли управления DeviceLock. С помощью стандартной оснастки Resultant Set of Policy можно просмотреть применяемые в настоящий момент политики DeviceLock и проверить задаваемый набор политик, который будет применен после его распространения в сети.
Контроль по типу файлов. DeviceLock позволяет разрешать и запрещать доступ к определенным типам файлов вне зависимости от установленных на устройство или протокол разрешений, а также задавать гибкие политики теневого копирования с целью уменьшения объема хранимых на сервере данных. Определение типов файлов основано на сигнатурном методе и не зависит от расширения файла. Поддерживается более 4000 типов файлов.
Контроль буфера обмена. DeviceLock позволяет эффективно предотвращать потенциальную утечку данных еще до того, как они будут переданы с компьютеров – когда пользователь намеренно или случайно копирует данные между различными приложениями и документами через встроенный в ОС Windows буфер обмена. Политики контроля DeviceLock могут быть настроены для выборочной блокировки и аудита операций передачи данных через системный буфер между различными приложениями (например, из MS Word в MS Excel или в OpenOffice). Контекстный контроль доступа пользователей к операциям буфера обмена обеспечивается на уровне объектов и типов данных – включая файлы, текстовые данные, графические изображения, аудиофрагменты (например, записи, сделанные Windows Sound Recorder), а также данные неопределенного типа. DeviceLock также позволяет селективно блокировать «снимки экрана», выполняемые стандартной функцией Windows PrintScreen, как для отдельных пользователей, так и для различных приложений.
Белый список USB-устройств. Для каждого пользователя или группы можно задать свой «белый» список устройств, доступ к которым будет всегда разрешен. Устройства можно идентифицировать по модели и по уникальному серийному номеру.
Белый список носителей. DeviceLock позволяет идентифицировать определенный CD/DVD-диск на основе записанных на него данных и разрешить его использование, даже если сам CD/DVD-привод заблокирован. Для каждого пользователя или группы можно задать свой «белый» список носителей.
Временный белый список. Позволяет предоставлять временный доступ к устройствам при отсутствии сетевого подключения к агенту. Администратор сообщает пользователю специальный короткий буквенно-цифровой код (например, по телефону), который временно разблокирует доступ только к требуемому устройству.
Белый список сетевых протоколов. Модуль NetworkLock позволяет задавать политики безопасности, основанные на принципе «белого» списка сетевых протоколов, который дополнительно может детализироваться по IP-адресам, их диапазонам и маскам подсетей, сетевым портам и их диапазонам, а также критериям «больше чем/меньше чем» для этих параметров.
Аудит. DeviceLock позволяет протоколировать все действия пользователей с устройствами и файлами (копирование, чтение, удаление и т.п.). Также можно протоколировать изменения в настройках Devicelock, время старта и остановки агента. DeviceLock использует стандартную подсистему событийного протоколирования Windows, а также автоматически собирает данные аудита с удаленных компьютеров в локальной сети и хранит их в центральной базе данных SQL Сервера. Даже пользователи с административными правами (если они не входят в список авторизованных администраторов DeviceLock) не могут изменить, удалить или иным образом исказить данные журналов аудита, переданные на DeviceLock Enterprise Server.
Теневое копирование. Функция теневого копирования в DeviceLock позволяет для каждого пользователя или группы сохранять точную копию данных, копируемых на внешние устройства, передаваемых по сети и через последовательные и параллельные порты, а также печатаемых на локальных и сетевых принтерах. Точные копии всех файлов и данных сохраняются в SQL-базе данных на сервере модулем DeviceLock Enterprise Server (DLES). DLES при этом может извлекать из ISO-образов CD/DVD/BD дисков записываемые файлы. Функционал аудита и теневого копирования в DeviceLock гибко настраивается для эффективного использования сетевых ресурсов и ресурсов БД SQL-сервера с помощью таких параметров, как потоковое сжатие данных аудита и теневого копирования, контроль пропускной способности сети, автоматический выбор оптимального сервера DLES и локальной квоты кэша данных аудита и теневого копирования. Технологии контентной фильтрации в модуле ContentLock позволяют задать фильтрацию для данных теневого копирования, чтобы сохранять только те файлы и данные, которые информационно значимы для задач аудита информационной безопасности, расследований нештатных ситуаций и их криминалистического анализа. В результате на порядки снижаются требования к емкости хранилищ теневых копий и пропускной способности каналов связи при их передаче в центральную базу данных аудита и теневого копирования DeviceLock. Контентный анализ для теневого копирования поддерживается для всех ключевых каналов передачи и хранения данных, включая съемные носители и plug-n-play устройства памяти, сетевые коммуникации, синхронизацию данных с локально подключенными смартфонами, а также канал печати документов.
Централизованное хранение журналов аудита и теневого копирования. Для централизованного сбора и хранения данных теневого копирования и журналов аудита используется дополнительный нелицензируемый компонент DeviceLock Enterprise Server (DLES). Для равномерного распределения нагрузки в локальной сети можно установить несколько экземпляров DLES, которые, в свою очередь, используют любое количество SQL-серверов для хранения данных.
Предотвращение утечки данных через мобильные устройства. DeviceLock позволяет контролировать синхронизацию компьютера с КПК и смартфонами, работающими под управлением ОС Windows Mobile, iPhone OS и Palm OS, и осуществлять аудит и теневое копирование данных, передаваемых с компьютера на эти мобильные устройства. Возможно задавать разрешения для различных объектов (файлы, контакты, почта и т.д.), передаваемых с компьютера на КПК и наоборот в процессе синхронизации мобильного устройства. Также возможно включить аудит и теневое копирование для файлов и других объектов (контакты, почта и т.д.), копируемых с компьютера на КПК. Поддерживаются все интерфейсы подключения КПК (USB, COM, IrDA, Bluetooth, WiFi).
Политики автономного и оперативного режима. DeviceLock может применять один набор политик для ситуации, когда компьютер подключен к сети, доступен контроллер домена или доступен DeviceLock Enterprise Server (оперативный режим), и другой набор политик для ситуации, когда компьютер не подключен к сети, не доступен контроллер домена или не доступен DeviceLock Enterprise Server (автономный режим). Применение различных политик для двух режимов полезно, например, для запрета использования адаптеров WiFi, когда компьютер подключен к локальной сети компании, и разрешения, когда отключен.
Интеграция с внешними средствами шифрования. DeviceLock позволяет устанавливать специальные «политики шифрования» для внешних подключаемых дисков, зашифрованных при помощи сторонних программных средств шифрования. Используя такие политики, возможно, например, разрешить запись только зашифрованных данных на съемные устройства и запретить запись незашифрованных данных. DeviceLock обнаруживает диски, созданные продуктами BitLocker To Go (встроенное в ОС Windows средство шифрования данных на съемных носителях) , ViPNet SafeDisk (продукт российской компании Инфотекс, сертифицирован ФСБ России как СКЗИ), PGP Whole Disk Encryption, DriveCrypt и TrueCrypt (USB-флешки и другие съемные устройства), а также распознает флеш-диски Lexar JumpDrive SAFE S3000 и Lexar SAFE PSD, поддерживающие аппаратное шифрование данных.
Сервер полнотекстового поиска. Опционально лицензируемый компонент DeviceLock Search Server позволяет осуществлять полнотекстовый поиск по содержимому файлов теневого копирования и журналам, хранящимся в центральной базе данных сервера DeviceLock Enterprise Server. Полнотекстовый поиск особенно полезен в случаях, когда вам необходим поиск по содержимому документов, хранимых в базе данных теневого копирования. DeviceLock Search Server может автоматически распознавать, индексировать, находить и отображать документы множества форматов, таких как: Adobe Acrobat (PDF), Ami Pro, Архивы (GZIP, RAR, ZIP), Lotus 1-2-3, Microsoft Access, Microsoft Excel, Microsoft PowerPoint, Microsoft Word, Microsoft Works, OpenOffice (документы, таблицы и презентации), Quattro Pro, WordPerfect, WordStar и многие другие.
Расширенные функции DeviceLock® DLP Endpoint Suite
Обнаружение и блокирование аппаратных кейлоггеров. DeviceLock обнаруживает USB-кейлоггеры и блокирует клавиатуры, подсоединенные к ним. Также DeviceLock может предотвращать запись данных на PS/2 кейлоггеры. DeviceLock искажает вводимые с PS/2 клавиатуры данные и вынуждает PS/2 записывать «мусор» вместо реально вводимых данных.
Централизованный мониторинг. DeviceLock Enterprise Server позволяет контролировать текущее состояние агентов на удаленных компьютерах. DeviceLock Enterprise Server может периодически опрашивать удаленные компьютеры и сохранять в журнал мониторинга текущее состояние, версию и сведения о настройках каждого агента. Кроме того, DeviceLock Enterprise Server сравнивает текущие политики безопасности (настройки) агентов на указанных администратором компьютерах с эталонными политиками, сохраненными в XML-файл, и записывает информацию о выявленных отклонениях в журнал мониторинга. При этом возможна автоматическая замена текущих политик безопасности на эталонные.
Обновление настроек на отключенных от сети компьютерах. DeviceLock позволяет безопасно обновлять настройки агентов на отключенных от сети компьютерах путем создания файлов с настройками и передачи их пользователям, чьи компьютеры не подключены к сети и находятся вне досягаемости консолей управления. Для предотвращения неавторизованных изменений в настройках эти файлы могут быть подписаны при помощи электронной цифровой подписи.
Отчеты. DeviceLock позволяет формировать графические отчеты на основе данных из журналов аудита и теневого копирования, хранимых на сервере DeviceLock Enterprise Server. Эти отчеты могут быть автоматически высланы по электронной почте на указанный адрес. Также DeviceLock позволяет формировать отчеты по установленным настройкам, применяемым на агентах DeviceLock, и по Plug-n-Play устройствам (USB, FireWire и PCMCIA), которые используют пользователи на своих локальных компьютерах.
Контроль пропускной способности сети. DeviceLock может определять баланс своего сетевого трафика, позволяя вам ограничивать пропускную способность сети для данных аудита и теневого копирования идущих от агентов на DeviceLock Enterprise Server.
Компрессия данных при передаче по сети. DeviceLock может использовать потоковое сжатие данных аудита и теневого копирования, пересылаемых с удаленных агентов на DeviceLock Enterprise Server, для уменьшения объема передаваемой по сети информации и снижения нагрузки на сеть.
Автоматический выбор оптимального сервера. Для передачи данных аудита и теневого копирования, агенты могут выбирать из своих списков наиболее быстрые из доступных серверов.