Весной 2018 г. компания «Смарт Лайн Инк» планирует выпустить очередную версию своего продукта — DeviceLock DLP Suite 8.3, решения по предотвращению утечек данных с корпоративных компьютеров, а также виртуализованных рабочих сред и приложений Windows. Первая бета-версия была опубликована в канун 2018 г. и доступна для свободного ознакомления. Обзор описывает наиболее интересные новые возможности программного комплекса.
Агент DeviceLock — единственный на мировом рынке агент класса Endpoint DLP со встроенным резидентным модулем, реализующим технологию глубокого анализа и фильтрации сетевых пакетов (Deep Packet Inspection, DPI) непосредственно на защищаемом компьютере. Для большинства мессенджеров, контролируемых DeviceLock DLP Suite, реализованы моментальный анализ и фильтрация содержимого сообщений в чате, а не только исходящих файлов. Показательным примером является практически полный контроль мессенджера Skype во множестве его вариаций, в том числе Skype for Business, когда агент DeviceLock контролирует права пользователей Skype делать и получать аудио- и видеозвонки, используя в качестве параметров их учетные записи в системе, членство в группах и skype-идентификаторы, анализирует содержимое переписки и передаваемых файлов в режиме реального времени с применением соответствующих DLP-политик.
Рисунок 1. Интерфейс DeviceLock Management Console
Если года три назад специалисты служб ИБ были озабочены решением задачи контроля коммуникаций в Skype, то сегодня наряду с этим каналом (все еще актуальным и создающим объективную угрозу утечек данных) специалисты учитывают риски потери информации через другие популярные мессенджеры — WhatsApp, Viber, Telegram. В этом направлении DeviceLock DLP традиционно выступает технологическим лидером среди других DLP-систем. В случае с WhatsApp, отличительной особенностью которого является качественно реализованное проприетарное шифрование передаваемых данных, DeviceLock DLP на сегодня позволяет задать индивидуальные (или по группам пользователей) политики доступа к WhatsApp Web, а также протоколировать факты его использования. Для мессенджера Viber реализована возможность селективного контроля и протоколирования для чатов и передаваемых файлов, включая теневое копирование, а также протоколирования соединений и голосовых коммуникаций через Viber. Селективность контроля в данном случае означает возможность не только ограничивать доступ к мессенджеру отдельным пользователям и группам, но и, например, запрещать передачу файлов при разрешении чата.
Особенности контроля Telegram в DeviceLock DLP
Возможности контроля мессенджера Telegram в DeviceLock намного шире, чем для WhatsApp и Viber. Прежде всего, детектируется и контролируется использование как web-версии Telegram, так и приложения Telegram Desktop.
Рисунок 2. Настройка контроля Telegram в DeviceLock DLP
Для web-версии DeviceLock DLP на сегодня предоставляет уникальную среди DLP-решений возможность задавать политики контроля доступа и протоколирование соединений. Для версии же Telegram Desktop возможно помимо селективного контроля доступа задать детальное событийное протоколирование и создание теневых копий для всех чатов, независимо от того, канал это, мультичат или чат между двумя собеседниками. Другой уникальной возможностью является асинхронный контентный анализ сообщений и файлов, отправляемых через Telegram Desktop, позволяющий обеспечить оперативную реакцию на специфическое содержимое отправляемых данных. Наконец, DeviceLock DLP способен извлекать из переписки в Telegram и сохранять в журнале реальные имена отправителей и получателей для целей протоколирования и вывода в динамическом графе связей.
Использование цифровых отпечатков в контентной фильтрации
Метод использования цифровых отпечатков в DLP-системах, в основе которого лежит сопоставление документов или файлов с так называемыми цифровыми отпечатками — наборами буквенно-цифровых строк (хэшей), является одним из наиболее точных методов идентификации и защиты информации.
Рисунок 3. Настройка правил идентификации с помощью цифровых отпечатков
Особенно эффективен этот метод для идентификации незначительно измененных типовых документов. Например, он позволяет легко идентифицировать заполненные контракты, отличающиеся только данными одной из сторон, он также полезен для идентификации финансовых данных, хранящихся в документах MS Office, бизнес-информации, хранящейся в файлах PDF, или исходного кода, хранящегося в текстовых файлах. Кроме того, цифровые отпечатки можно использовать для идентификации и защиты нетекстовых файлов (таких как изображения, чертежи и мультимедийные файлы), а также для идентификации данных, которые пытаются скопировать из одного файла в другой. С помощью цифровых отпечатков можно обнаруживать как полностью скопированные документы, так и отдельные фрагменты документов, даже если в документ были внесены изменения или искажения путем добавления «мусорного» текста.
DeviceLock DLP снимает цифровые отпечатки с образцов конфиденциальных документов, сохраняя их в базе данных отпечатков сервера DeviceLock Enterprise Server, а затем сравнивает их с цифровыми отпечатками проверяемых документов. Если процент соответствия отпечатков превышает требуемый порог в соответствии с настройкой, проверяемые документы считаются конфиденциальными, и к ним применяются заданные в контентно-зависимом правиле действия. Правила, построенные на базе контентных групп Document Fingerprints, могут применяться как к устройствам, так и к сетевым протоколам, позволяя использовать цифровые отпечатки для управления разрешениями на доступ, избирательного теневого копирования и задач обнаружения содержимого в асинхронном режиме.
При создании правил используется классификация хранимых цифровых отпечатков по уровням важности или секретности (например, Restricted, Confidential, Top Secret). DeviceLock предоставляет ряд встроенных классификаций и позволяет добавлять дополнительные пользовательские классификации.
Рисунок 4. Настройка частоты обновления цифровых отпечатков в DeviceLock DLP
Обработка образцов информации и снятие их отпечатков осуществляется задачами на сервере DeviceLock Enterprise Server. Каждая такая задача относится к определенной классификации и присваивает ее тем отпечаткам, которые она создает. При каждом запуске задача может проверять файлы в определенной папке. Для каждого файла она сначала создает его отпечатки и сравнивает их с отпечатками из базы данных. Проверка же передаваемой информации выполняется агентом DeviceLock локально, при этом агент запрашивает сервер для оценки отпечатков проверяемой информации.
Функция использования цифровых отпечатков для контентного анализа информации, передаваемой по сети, печатаемых или сохраняемых на внешних накопителях, будет включена в DeviceLock DLP версии 8.3, а первая бета-версия уже доступна для свободного ознакомления на сайте www.devicelock.com.
Программный комплекс DeviceLock DLP Suite предлагает для эффективного решения задачи защиты от утечек данных полнофункциональный набор контекстных и контентно-зависимых механизмов эффективного контроля используемых (data-in-use), передаваемых (data-in-motion) и хранимых (data-at-rest) данных. Ключевой особенностью продукта является принцип работы в режиме реального времени, с обеспечением защиты непосредственно на пользовательских компьютерах. Исполнительный агент DeviceLock, функционирующий на уровне ядра операционной системы, поддерживает самый широкий в DLP-отрасли набор контекстных методов предотвращения утечек данных с защищаемых пользовательских компьютеров через их локальные интерфейсы и порты, периферийные, виртуальные и перенаправленные в терминальные сессии устройства ввода-вывода, системный буфер обмена, снимки экрана, а также каналы сетевых коммуникаций.
Критически важное преимущество агента DeviceLock перед резидентными DLP-агентами в других DLP-решениях, помимо возможности контентного анализа и фильтрации в режиме реального времени в целях предотвращения утечек данных, состоит в его защищенности от попыток изменения исполняемых политик, отключения, удаления и иных деструктивных действий не только со стороны обычных пользователей, но и локальных системных администраторов.