Zecurion DLP Endpoint: эволюция защиты от внутренних угроз на конечных точках

Zecurion DLP Endpoint: эволюция защиты от внутренних угроз на конечных точках

Zecurion DLP Endpoint: эволюция защиты от внутренних угроз на конечных точках

Аналитики Gartner, IDC и Forrester относят DLP-систему Zecurion к числу лучших на глобальном рынке. Одним из её главных преимуществ заказчики часто называют развитой агент. Рассказываем об истории развития, основных возможностях продукта и сценариях его использования для обеспечения безопасности корпоративной информации.

 

 

 

 

 

  1. Введение
  2. Архитектура Zecurion DLP Endpoint
  3. Контроль устройств
  4. Мониторинг сообщений в мессенджерах, электронной почты и веб-трафика
  5. Работа Zecurion DLP Endpoint с другими каналами
  6. Методы контентного анализа
  7. Управление DLP-агентами Zecurion
  8. Zecurion Staff Control
  9. Возможности импортозамещения
  10. Ключевые преимущества Zecurion DLP Endpoint
  11. Выводы

Введение

Рассказ о Zecurion DLP Endpoint следует начать с упоминания о Zecurion Zlock. Появившийся в 2005 году продукт произвёл большое впечатление на игроков развивающегося рынка предотвращения утечек информации. Заказчиками Zlock стали крупные российские организации из разных отраслей: «Сбербанк», РОСНО, Allianz, «Роснефть», Федеральное казначейство, Федеральная таможенная служба, «Мосэнергосбыт», а сам продукт в первый же год поставок выиграл звание «Продукт года» от Softool, медаль 1-й степени от «Технологий безопасности» и другие награды в разных номинациях.

Основной его задачей был контроль портов, устройств и периферии, включая принтеры. Это только часть каналов, которые должна контролировать корпоративная DLP, но они всегда были «проблемными». До появления Zlock самым распространённым вариантом решения этой проблемы был запрет на использование устройств, который устанавливался накладными средствами ИБ (другими программами), штатными возможностями операционных систем и даже механически (вплоть до отключения и даже запаивания разъёмов). В любом случае офицер безопасности мог использовать только два режима: «запретить» и «разрешить». Это создавало много проблем при выстраивании политик и соединении требований безопасности и бизнеса. Zlock сумел решить эти проблемы: теперь офицер безопасности мог разрешить все устройства, но контролировать их использование. Такая вариативность давала необходимую гибкость.

Прорывной технологией для агентских DLP стало применение контекстного анализа. В результате Zlock мог прямо на рабочей станции, в т. ч. и в автономном режиме, понять содержимое контролируемых файлов и в соответствии с политиками безопасности разрешить или запретить действие. Такой подход позволял контролировать перемещения информации в режиме реального времени и без связи с сервером.

Среди других возможностей Zlock были:

  • Контроль любых USB-устройств и гаджетов.
  • Поддержка всех основных портов, контроллеров и устройств, Wi-Fi, Bluetooth, IrDA, CD, DVD, LPT, COM, сетевых карт, модемов и других.
  • Применение политик в зависимости от времени, местоположения пользователей и других критериев.
  • Создание теневых копий перехватываемых файлов.
  • Превентивное копирование файлов, что исключало сценарии кражи данных.
  • Уведомление пользователей об ограничениях и нарушениях политик.
  • Удалённое предоставление доступа по запросу, по телефону или электронной почте.

Уже тогда в системе угадывались контуры архитектурных решений современной Zecurion DLP: дистрибьюция клиентов через единую консоль, гибкая система настройки политик, вариативность развёртывания системы в корпоративной сети. Zecurion DLP Endpoint можно назвать эволюционным развитием Zlock на новой технологической базе.

Архитектура Zecurion DLP Endpoint

DLP Endpoint является частью комплексной DLP-системы Zecurion. Основная её задача — контроль информационных потоков — может решаться непосредственно на конечных точках (модули Zecurion Endpoint), на шлюзе сети (Zecurion Traffic Control), а также по сети с сервера (модули Zecurion Network Discovery, DCAP Server Agent и др.). Синергетический эффект совместной работы предполагает общее их использование, однако на практике возможна раздельная установка и эксплуатация. В некоторых конфигурациях сети заказчика это оправданно с точки зрения рационального использования ресурсов и позволяет обеспечить наилучшее соотношение затрат и результата.

Поэтому архитектура, положенная в основу Zecurion DLP Endpoint, предполагает самодостаточную работу компонентов на рабочих станциях. Все события, происходящие на конечных устройствах, обрабатываются на месте без необходимости обращения к серверу. Это позволяет Zecurion не только снижать нагрузку на сетевую инфраструктуру и осуществлять контроль безопасности в условиях неустойчивой связи с центральной нодой, но и реагировать на потенциально небезопасные действия в режиме реального времени. Агенты на конечных точках сети — это ключевой элемент такого сценария. Подсистема включает в себя несколько модулей, собранных в одном технологически развитом, многофункциональном DLP-агенте.

Zecurion DLP Endpoint можно разделить на несколько функциональных блоков:

  • Device Control Agent — обеспечивает контроль использования внутренних и внешних устройств, подключаемых к рабочей станции, а также установленных на ней приложений;
  • Traffic Control Agent — осуществляет мониторинг и анализ интернет-трафика, почтовых сообщений и переписки в мессенджерах;
  • DCAP Agent — отслеживает изменения в файловой системе, создание, чтение, изменение, удаление объектов, а также соблюдение контентных политик в отношении папок и файлов;
  • Discovery Agent — проверяет содержимое файлов на наличие данных, которые могут быть конфиденциальными;
  • Staff Control — контролирует активность пользователей за ПК и ведёт учёт использования рабочего времени;
  • Screen Photo Detector — распознаёт попытки сфотографировать экран компьютера на смартфон.

Наличие модуля Traffic Control Agent в составе продукта может потребовать пояснений. Здесь нет противоречий или внутренней конкуренции с Zecurion DLP Network. Некоторые каналы коммуникаций, например мессенджеры Telegram или WhatsApp, технически невозможно контролировать на шлюзе. Агент расширяет возможности сетевой DLP. Кроме того, контроль сетевых соединений на уровне агента даёт дополнительную гибкость в схемах интеграции и использования DLP в корпоративной среде.

Контроль устройств

Контроль периферийных и встроенных устройств является одной из наиболее востребованных задач Zecurion DLP Endpoint. Логика работы определяется настройками политик безопасности, описывающих как правила доступа к устройствам для передачи и хранения данных (сетевые адаптеры, флешки, дисковые накопители и т. д.), так и реакцию системы на события, произошедшие в каналах коммуникации с пользователем (экран, клавиатура, микрофон, камера и пр.).

Для каждого устройства или их группы агент может назначать полный либо ограниченный (только чтение для USB-носителей и дисководов) доступ или же полностью блокировать его. Блокировка может распространяться как на всех пользователей рабочей станции, так и на отдельные учётные записи или их группы. Если доступ к устройству ограничен, пользователь может сформировать запрос на расширение привилегий и отправить его администратору по электронной почте или другим каналам. Таким образом, политика срабатывает, если пользователь обращается к устройству или приложению, пытается прочитать хранящиеся на нём данные или же записать на него новую информацию.

Однако такие жёсткие ограничения плохо применимы в реальных условиях работы. Ещё со времён Zlock важным отличием Zecurion, как уже упоминалось выше, была гибкая настройка политик безопасности взамен простого подхода «разрешить — запретить». Устройствами можно пользоваться, но их применение тщательно контролируется Zecurion DLP. Система проверяет содержимое файлов и реагирует в зависимости от контентных политик. Это позволяет избежать необоснованных запретов и ограничений для сотрудников и сохраняет возможность использования удобных каналов коммуникации.

Набор условий и правил может быть очень широким. Например, офицер безопасности может разрешить запись на устройство типа «съёмный дисковый накопитель», произведённое Samsung, с серийным номером 900063E74CB8EC24 по вторникам с 11:00 до 14:00 и запретить работу с любыми другими флешками.

При выявлении нарушений политик система реагирует одним из заданных способов. Наиболее мягким вариантом может быть запись в лог, создание инцидента в консоли управления или отправка уведомления администратору. Однако в арсенале системы есть и более серьёзные методы реагирования, например блокировка операции и даже учётной записи нарушителя. Уникальной возможностью Zecurion является принудительное шифрование конфиденциальных данных при копировании на флешку — результат работы модуля «Криптопериметр». После этого данные с флешки можно будет считать только на компьютере с Zecurion DLP. Тем самым исключается целый класс утечек, связанный с утерей, кражей и намеренной передачей информации третьим лицам.

Мониторинг сообщений в мессенджерах, электронной почты и веб-трафика

Одним из наиболее распространённых каналов утечки конфиденциальных данных сегодня являются мессенджеры. Через WhatsApp, Telegram и другие популярные средства быстрого общения могут быть переданы как конфиденциальная текстовая информация, так и важные документы в виде графических файлов или PDF. Ещё одна особенность мессенджеров — работа с голосовыми сообщениями, которые также могут содержать конфиденциальные данные.

 

Рисунок 1. Разбор инцидента

Разбор инцидента

 

Zecurion DLP Endpoint прослушивает трафик мессенджеров и в режиме реального времени информирует офицера безопасности о потенциальных нарушениях. Система также может заблокировать передачу файла или голосового сообщения, если увидит нарушение политик безопасности.

Аналогичные политики применяются и к более традиционным корпоративным каналам коммуникации, веб-трафику (включая публикации в социальных сетях, сообщения на форумах) и электронной почте. Политики для всех сетевых каналов являются контентозависимыми (т. е. сначала распознаётся и анализируется содержимое), что позволяет гибко настраивать правила реагирования и не нарушать отлаженные бизнес-процессы.

Работа Zecurion DLP Endpoint с другими каналами

Важной особенностью агента Zecurion DLP является максимальный охват каналов, по которым может быть передана конфиденциальная информация, а также применение всех доступных методов обнаружения потенциальных нарушений применительно к этим каналам. Система имеет возможность анализировать содержимое буфера обмена, перехватывать работу с клавиатурой, прослушивать аудиопоток микрофона, а также обрабатывать изображения с экрана и веб-камеры.

 

Рисунок 2. Съёмка экрана

Съёмка экрана

 

Во всех случаях Zecurion DLP Endpoint проверяет перехваченные данные на соответствие политикам безопасности. В случае их нарушения агент уведомляет офицера безопасности, делает запись в лог или блокирует операцию. Таким образом формируется многослойная система противодействия утечкам, которая работает на всех уровнях взаимодействия с контентом — от набора сообщения на клавиатуре и вставки данных через буфер обмена до попытки передать информацию посредством мессенджера или электронной почты.

Хорошей иллюстрацией комплексного подхода к контролю каналов является подсистема обнаружения снимков экрана Zecurion Screen Photo Detector. При помощи веб-камеры рабочей станции она способна распознать попытку пользователя сфотографировать экран. Мониторинг в режиме одного кадра в секунду (или другой настраиваемой частоты) с точностью порядка 96 % (по данным тестирования на больших объёмах информации) детектирует смартфон и объектив камеры, делает снимок нарушения и скриншот, а также формирует ИБ-инцидент. При необходимости — например, для предотвращения дальнейших попыток съёмки экрана — может быть заблокирована учётная запись сотрудника.

Методы контентного анализа

Для обнаружения потенциальных нарушений DLP-агент Zecurion использует более 10 технологий контентного анализа, которые позволяют распознавать конфиденциальное содержимое и искать похожие на образец фрагменты информации. Анализ проводится для всех поддерживаемых форматов файлов, а в отношении сетевых каналов — по тексту перехваченных сообщений и во вложенных файлах.

Среди используемых технологий — регулярные выражения, морфология, цифровые и графические отпечатки, метод опорных векторов и другие. В свою очередь, технологии включают в себя различные алгоритмы, которые повышают точность распознавания и классификации информации, уменьшают количество ложных срабатываний. Например, основой для создания отпечатков может выступать текст, изображение или база данных. При этом исходник анализируется системой с использованием одного из соответствующих методов.

Текстовые отпечатки создаются с применением алгоритма шинглов (выделенных из массива последовательностей слов), метода Байеса (вероятностный классификатор для машинного обучения) или опорных векторов. Использование математических методов позволяет уйти от строгого сигнатурного сравнения документов и обнаруживать, например, договоры или финансовые документы без точного совпадения текстовых фрагментов.

При работе с графическими отпечатками система применяет технологии машинного обучения для выявления маркеров конфиденциальных данных — печатей, логотипов компании, изображений паспортов и других документов. Для обучения искусственного интеллекта должен быть использован массив данных с соответствующими изображениями. Чем больше распознаваний проведёт нейросеть, тем меньше ложных срабатываний она будет допускать и тем более сложные изображения сможет обнаруживать.

Совокупность лингвистических методов анализа предназначена для поиска текстовых строк и выражений на основании структурированных словарей, которые может пополнять администратор системы. Однако простым анализом текстовых сигнатур дело не ограничивается. Zecurion DLP Endpoint может выполнять:

  • Морфологический анализ текста, при котором выявляются разные грамматические формы искомого слова. Например, слово «передать» будет найдено в текстах, где содержатся «передали», «передадите», «передам» и другие формы.
  • Обработку окончаний, или стеминг. В этом случае система выделяет псевдооснову слова, отбрасывая от него суффикс и окончание, после чего выполняет поиск. Алгоритм отличается высокой скоростью и хорошо работает со словами, которые имеют сложные корни.
  • Поиск по транслитерации. DLP-агент способен проводить поиск русскоязычных словоформ в транслитерированных документах, которые могут быть использованы злоумышленниками для маскировки данных. Для каждой буквы можно задать несколько вариантов транслитерации — например, «h», «x» или «kh» распознаются как буква «х».
  • Поиск с использованием спецсимволов. Так можно определять строки с неизвестными значениями. Например, запрос «Договор ???» позволяет найти все договоры с трёхзначным буквенно-цифровым кодом.

Важно отметить, что DLP перехватывает информацию не только в текстовом виде. В зависимости от контролируемых каналов и форматов DLP может получать картинки, скан-копии документов или чертежей, а также аудиопотоки. Это требует дополнительной обработки данных для извлечения текста. Распознавание текста в графических документах производится с помощью OCR-модуля Zecurion. При этом по выбору пользователя могут использоваться разные ядра: FineReader или Tesseract. Для извлечения текста из аудиофайлов используется Zecurion Voice, который работает с различными типами записей и эффективно фильтрует фоновые шумы. Оба модуля (и OCR, и Voice) также работают на конечных точках.

Управление DLP-агентами Zecurion

Важной особенностью Zecurion DLP является единая информационная среда для управления клиентами, установленными на конечных точках. Все агенты и модули системы контролируются из единой консоли администратора, которая позволяет настраивать и распространять политики безопасности по всей сетевой инфраструктуре. С одной стороны, администратор системы может легко применить созданное правило ко всем рабочим станциям, а с другой — без каких-либо проблем индивидуализировать политики безопасности конечных точек, создавая на каждой из них уникальный набор условий проведения мониторинга.

 

Рисунок 3. Настройки Endpoint

Настройки Endpoint

 

Это особенно важно в контексте работы в крупных, территориально распределённых сетях масштаба предприятия. Помимо единой консоли, политик и системы отчётности администратору DLP-решения доступны мощные средства распространения агентов. Установка и обновление клиентских модулей может осуществляться как при помощи Zecurion Installer, входящего в экосистему информационной безопасности вендора, так и через групповые политики, позволяющие использовать стандартные механизмы автоматизации среды Windows.

Zecurion Staff Control

В состав Zecurion DLP Endpoint входит отдельная подсистема контроля активности пользователей и учёта рабочего времени. Описание всех возможностей этого модуля выходит за рамки этого материала, поэтому тезисно перечислим лишь его ключевые особенности:

  • Комплексная оценка активности работника за любой интервал времени, основанная на понятных и измеряемых показателях.
  • Полная статистическая информация по сотруднику: количество времени в офисе, доля удалённой работы, опоздания, ранние уходы и другие факторы.
  • Статистика посещения сайтов с разбивкой по конкретным адресам и категориям.
  • Подтверждённая работа в сетях размером свыше 100 тыс. рабочих мест.

Рисунок 4. Сводка по сотруднику

Сводка по сотруднику

 

Вся собранная информация по сотрудникам и используемому ими рабочему времени отображается в консоли офицера безопасности, а также может быть выгружена в виде отчётов для топ-менеджмента, кадрового департамента, руководителей подразделений или других заинтересованных лиц.

Возможности импортозамещения

Задолго до возникновения актуальной тенденции к замене проприетарных западных операционных систем компания Zecurion поставила себе задачу создать полноценное агентское решение на базе Linux. Благодаря этому гандикапу Zecurion DLP уже сегодня обладает полноценным Linux-агентом, умеющим блокировать утечки, в то время как большинство конкурирующих разработок ещё только делают первые шаги на пути к поддержке отечественных ОС.

В данный момент Zecurion DLP Endpoint для Linux на 90 % соответствует возможностям клиентского решения на базе Windows. Агент поддерживает широкий набор релизов операционной системы — от актуальных отечественных продуктов, созданных в рамках импортозамещения, до относительно старых зарубежных сборок, которые могут ещё оставаться на слабых рабочих станциях. Важно, что Linux-агенты работают в той же единой информационной среде, что и все остальные элементы ИБ-экосистемы Zecurion, так что для офицера безопасности не будет иметь значения, под управлением какой ОС работает конечное устройство.

Ключевые преимущества Zecurion DLP Endpoint

Подводя итоги, ещё раз перечислим основные достоинства агентов Zecurion DLP:

  • Политики применяются там же, где происходит перехват информации — непосредственно на рабочих станциях. При этом агенты сохраняют полную работоспособность в режиме офлайн, без связи с сервером.
  • Гибкие политики использования каналов и устройств, не ограничивающие эффективность рабочих коммуникаций, но позволяющие их контролировать.
  • Единая среда установки, обновления и управления агентами, рассчитанная на работу в сетях масштаба предприятия, широкие возможности администрирования в рамках одной консоли с удобным интерфейсом и развитой системой настраиваемых отчётов.
  • Комплексный подход к контролю всех возможных каналов утечки информации — от мониторинга почтовых систем и мессенджеров до анализа данных с веб-камеры и микрофона.
  • Передовой стек технологических решений для обнаружения потенциальных нарушений: методы контентного анализа, использование алгоритмов машинного обучения, обработка медиафайлов.
  • Модуль «Криптопериметр», позволяющий шифровать данные в прозрачном для пользователя режиме.
  • Риск-ориентированная система предупреждения инцидентов — сотрудники с высоким уровнем риска могут быть помещены под наблюдение офицера безопасности.
  • Часть единой экосистемы Zecurion, обеспечивающей эффективный сбор данных, их хранение и обмен ими с подсистемами контроля персонала и внешними решениями.
  • Полнофункциональный Linux-агент, готовый к использованию на рабочих станциях с российскими операционными системами.
  • Омниканальные (единые для всех портов, каналов и устройств) политики безопасности, создающие бесшовную защиту от внутренних угроз.

Выводы

Вышедший в 2005 году Zecurion Zlock быстро завоевал лидирующие позиции в сегменте благодаря бизнес-ориентированному подходу к контролю информации и контентному анализу на конечных точках сети, что повышало гибкость применения и качество детектирования конфиденциальных данных. При этом продукт активно развивался и расширял свои возможности, получая поддержку новых каналов коммуникаций и технологий анализа. Заказчикам были доступны обычная и сертифицированная ФСТЭК России версии продукта. Одним из значимых этапов развития стало добавление «Криптопериметра» — уникальной возможности прозрачного шифрования данных на съёмных носителях.

Следующим важным этапом было добавление агентов для контроля сетевого трафика и поиска конфиденциальной информации на рабочих станциях. Вместе они сформировали контуры Zecurion DLP Endpoint, части комплексной DLP-системы Zecurion, входящей в число лучших в мире в своём сегменте. В режиме реального времени она контролирует перемещения информации по сетевым и локальным каналам, выявляет и предотвращает утечки на конечных точках сети, а также следит за соблюдением корпоративных политик безопасности.

Реклама. Рекламодатель АО «СекьюрИТ», ИНН 7722253395, ОГРН 1037700058660

Erid: LdtCJzcXP

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru