Как с ARZip исключаются утечки данных через запароленные архивы

Как работает отечественный архиватор, который в отличие от других позволяет решить проблему утечек данных через запароленные архивы? Такой архиватор научит DLP видеть архивы насквозь. Сколько времени и средств он поможет сэкономить компаниям? 

1. Введение
2. Функциональные возможности
3. Пример реализации
4. Установка и настройка
5. Экономический эффект от внедрения
6. Актуальность решения
7. Выводы

Введение

Массовый переход на удалённый документооборот, использование облачных сервисов и привлечение аутсорсинговых ресурсов значительно повысили риски компрометации конфиденциальных данных через защищённые паролями архивы.

Проблема — в том, что содержимое запароленного архива недоступно для анализа средствами DLP. Ранее для отработки подобных ситуаций требовалось вмешательство специалистов по информационной безопасности, которые в ручном режиме занимались проверкой такого архива. Отправка писем адресатам заметно задерживалась: в среднем от момента попадания архива в карантин до принятия решения по нему проходило 1,5 дня. Проверка отвлекала на себя ресурсы службы ИБ, при этом не гарантируя стопроцентного результата.

Один из способов решить такую проблему — внедрение корпоративного архиватора, который обеспечивает автоматизацию обработки запароленных архивов и исключает утечки данных через них. 

Примером такой системы является отечественная разработка ARZip от компании ARinteg. Этот программный комплекс спроектирован для интеграции с DLP и позволяет выстроить эшелонированную защиту от утечек информации на уровне архивов. ARZip — полностью отечественная разработка, которая включена в реестр российского ПО под номером 15721.

Функциональные возможности

Архиватор ARZip обеспечивает автоматизацию проверки запароленных архивов через программный интерфейс (API) при интеграции с наиболее распространёнными российскими  DLP-системами. В частности, весной 2024 года ARinteg и ГК InfoWatch провели успешную интеграцию своих решений ARZip и DLP-системы InfoWatch Traffic Monitor. 

При создании архива ARZip передаёт его идентификатор (ID) и используемый пароль на сервер. Когда DLP обнаруживает защищённый паролем архив в потоке данных в корпоративной сети, такой объект направляется в ARZip для открытия. 

При получении такого архива ARZip выполняет следующие действия:

• считывает ID файла архива,
• находит пароль на доверенном сервере по API,
• распаковывает архив в изолированной среде,
• передаёт содержимое архива на анализ в DLP.

Если в архиве содержится конфиденциальная информация, то DLP перемещает файлы в карантин и оповещает об этом сотрудника службы безопасности. Если в таком архиве нет ничего недозволенного, то файл отправляется адресату.

Рисунок 1. Система защиты на примере взаимодействия ARZip и InfoWatch Traffic Monitor

ARZip поддерживает работу с популярными архивными форматами на входе (ZIP, RAR, 7Z, TAR, TAR.GZ, ARJ, CAB) и возможность упаковки в ZIP, 7Z, TAR.GZ, CAB. Также используется собственный формат ARZ.

Решение совместимо с операционными системами Windows, Debian, Astra Linux, Alt Linux и РЕД ОС.

При создании архивов в ARZip достаточно выбрать тип данных (рабочие файлы, мультимедиа, текст, базы данных и т. п.), и архиватор сам подберёт наиболее эффективный метод сжатия. Помимо этого, в архиваторе ARZip можно брендировать программу под заказчика.

Пример реализации

Рассмотрим подробнее сценарий взаимодействия ARZip с InfoWatch Traffic Monitor для защиты от утечек через запароленные архивы.

Рисунок 2. Интеграция ARinteg ARZip с InfoWatch Traffic Monitor

Допустим, сотрудник упаковывает в защищённый паролем архив такие файлы, которые содержат коммерческую тайну, персональные данные клиентов или другую конфиденциальную информацию. Этот архив может покинуть контролируемый периметр компании несколькими путями:

• по электронной почте;
• через мессенджеры;
• путём загрузки в облачные хранилища.

Рисунок 3. Отправка запароленного архива за контур инфраструктуры

При перемещении защищённого паролем архива за периметр корпоративной сети он перехватывается DLP и помещается в карантинную область. Далее DLP передаёт его в ARZip для распаковки.

Рисунок 4. Перехват архива с паролем

ARZip определяет ID перехваченного архива и обращается к доверенному серверу паролей для получения ключа расшифровки, ассоциированного с этим идентификатором. Имея в распоряжении пароль, ARZip распаковывает данные и направляет их в DLP, та проверяет их в соответствии с политиками безопасности.

При обнаружении конфиденциальной информации DLP блокирует передачу как самого архива, так и извлечённых из него нежелательных файлов.

Рисунок 5. Лог ARZip при раскрытии архива

При открытии архива через ARZip может быть настроено логирование: когда, какие файлы, какой пароль и так далее. Отдельно собирается статистика по инцидентам и блокировкам со стороны DLP.

Установка и настройка

Разработчики предлагают демодоступ к программе. Подробности можно узнать на официальной странице продукта.

Процесс интеграции включает в себя установку ARZip на необходимые рабочие станции, а также настройку взаимодействия с DLP через стандартный API. Поддерживаются ведущие DLP-системы.

Компания-разработчик ARinteg предлагает комплексное внедрение продукта.

Заметим, что программа получила свидетельство о государственной регистрации № 2022662215. Это подтверждает оригинальность кода и закрепляет правовую защиту интеллектуальной собственности разработчика.

Экономический эффект от внедрения

Применение корпоративного архиватора ARZip позволяет оптимизировать затраты на информационную безопасность по ряду направлений:

• оплата труда специалистов по информационной безопасности (за счёт автоматизации процессов проверки);
• скорость реагирования на инциденты и проведения расследований;
• борьба с рисками наложения штрафов, связанных с утечками персональных данных;
• противодействие риску простоя бизнес-процессов и возникновения ошибок на почве «человеческого фактора» при ручной обработке запароленных архивов;
• предотвращение репутационных и финансовых потерь вследствие компрометации данных.

Стоимость годовой подписки сопоставима с месячной зарплатой ИБ-специалиста. Как следствие, архиватор ARZip сравнительно быстро окупается. Фактический эффект зависит от масштаба компании и количества передаваемых архивов — чем они больше, тем выше потенциал оптимизации затрат на ИБ.

Возможности продукта не ограничиваются защитой от утечек: ARZip также может применяться для реализации конфиденциального документооборота, повышения безопасности корпоративных облачных хранилищ, приведения инфраструктуры в соответствие требованиям регуляторов и др.

Актуальность решения

Компания-разработчик ARinteg непрерывно совершенствует архиватор ARZip, развивая функциональность и повышая удобство использования.

Первый релиз архиватора 1.3.0 в октябре 2023 года включал в себя функциональный механизм сжатия с поддержкой Zstandart, работу с форматами ZIP, TAR.GZ и RAR, а также светлую и тёмную темы интерфейса.

К зиме того же года в ARZip 1.4.4 появилась интеграция в контекстное меню Windows: архивация файлов, извлечение контента, установка параметров сжатия реализованы через стандартные команды «Проводника».

Весной 2024 г. ARZip 1.5.0 вышел на международную арену. Продукт переведён на четыре языка: английский, грузинский, армянский и арабский. Параллельно идёт освоение корпоративного сектора через интеграцию с Astra Linux. 

Внедрение алгоритма Deflate64 летом 2024 года позволило оптимизировать компрессию ZIP-архивов. Ключевое обновление — интеграция с InfoWatch Traffic Monitor.

Осенью 2024 г. в версиях 1.6.0 и 1.7.0 (текущая) появились поддержка форматов TAR и CAB, визуализация процесса через прогресс-бар, автоматическое открытие директорий после распаковки, детальная статистика по размерам файлов.

Выводы

Корпоративный архиватор ARZip от российского разработчика ARinteg совмещает в себе возможности для работы с файловыми архивами и функциональность по противодействию утечкам данных. 

ARZip — комплексное решение, которое позволяет обеспечить стопроцентное использование функциональности DLP и усилить информационную безопасность компании. 

Работающие в связке ARZip и DLP автоматизируют проверку содержимого запароленных архивов, отправляемых из организации, что позволяет существенно снизить риски утечек конфиденциальных данных. Если DLP-система установлена «в разрыв», то она сразу блокирует передачу конфиденциальной информации, исключая её утечки из компании.

Внедрение продукта обеспечивает автоматизацию ИБ-процессов при работе с архивами, освобождая человеческие и финансовые ресурсы для решения других приоритетных задач. 

Широкие функциональные возможности, совместимость с популярными архивными форматами и ОС (включая отечественные), а также гибкие сценарии интеграции делают ARZip эффективным инструментом для выполнения требований регуляторов и реализации стратегии обеспечения ИБ в госучреждениях и коммерческих организациях. Имеются предпосылки для его активного продвижения не только на российском рынке, но и на международном.