Сертификат AM Test Lab
Номер сертификата: 98
Дата выдачи: 22.12.2011
Срок действия: 22.12.2016
2. Состав SafenSoft Enterprise Suite и модуля DLP Guard
3. Системные требования SafenSoft Enterprise Suite
4. Возможности модуля DLP Guard из SafenSoft Enterprise Suite
5. Эксплуатация модуля DLP Guard из SafenSoft Enterprise Suite
Введение
На сегодняшний день на рынке представлено большое количество продуктов, которые разработчики позиционируют как комплексную систему защиты рабочих станций. На самом деле подавляющее большинство из них позволяют обезопасить компьютеры только от внешних угроз: вредоносных программ и хакерских атак. В лучшем случае, в них присутствуют элементы родительского контроля, с помощью которых можно заблокировать доступ к нежелательным сайтам, ограничить время работы ПК, запретить подключение внешних устройств и пр. Однако до реализации действительно комплексной системы защиты, которая включала бы в себя как защиту от внешних, так и защиту от внутренних угроз, большинству разработчиков пока еще далеко.
Впрочем, из любого правила есть исключения. В нашем случае им является решение SafenSoft Enterprise Suite. Данный продукт позиционируется производителями как комплексная система защиты рабочих станций корпоративных сетей. И для этого в ней реализованы все необходимые элементы, включая функции массового развертывания, удаленного управления и пр.
Ключевой особенностью SafenSoft Enterprise Suite является наличие в нем модуля DLP Guard. Как видно из названия, он предназначен именно для защиты от внутренних угроз. С его помощью можно осуществлять контроль деятельности сотрудников на компьютерах сети, выявлять и предотвращать потенциально опасные действия. Кстати, именно защита от утечек конфиденциальных данных разработчики ставят "во главу угла" своего продукта. По их словам, DLP Guard создан прежде всего предназначен для предотвращения инцидентов, а не для последующего их разбора и ликвидации их последствий.
Помимо этого в DLP Guard реализован целый ряд инструментов контроля, которые несколько нетипичны для DLP-систем, однако могут оказаться полезными в некоторых ситуациях. К ним относятся просмотр экрана пользователя в режиме реального времени и его запись в виде видеофайла, мониторинг сетевых событий и вносимых в системный реестр изменений, клавиатурный шпион.
Совмещение в одном продукте защиты от внешних угроз, DLP-системы и системы контроля пользователей – достаточно интересное решение. Оно удобно в плане развертывания и администрирования. Общий обзор SafenSoft Enterprise Suite мы уже делали (ознакомиться с ним можно здесь). Сегодня же мы подробно остановимся на модуле защиты от внутренних угроз – DLP Guard.
Состав SafenSoft Enterprise Suite
Продукт SafenSoft Enterprise Suite состоит из трех компонентов:
- SafenSoft Admin Explorer – основная консоль управления системой защиты.
- SafenSoft Service Centre – сервисный центр, предназначенный для управления клиентскими приложениями, централизованной настройки параметров их работы, обновления, рассылки уведомлений и пр.
- SafenSoft Client – клиентский модуль, который устанавливается на рабочих станциях сети. Он, в свою очередь, состоит из двух модулей: SysWatch (для защиты от внешних угроз) и DLP Guard.
Системные требования SafenSoft Enterprise Suite
Системные требования SafenSoft Enterprise Suite приведены в таблице.
Модули администрирования | Клиентские модули | ||
Процессор | 32-разрядный (x86) и 64-разрядный (x64) Intel®, AMD® | ||
Оперативная память | 256 Мб для Windows XP, 512 Мб для Windows Vista/7 | ||
Дисковое пространство | 4 Мб для консоли управления, От 1 Гб для базы данных | 150 Мб | |
Операционные системы | Windows XP/Vista/7/Server 2003/ Server 2008 | Windows XP/Vista/7 | |
Дополнительные требования | Microsoft SQL 2005 и выше, Microsoft SQL Reporting Services |
Возможности модуля DLP Guard из SafenSoft Enterprise Suite
Для реализации защиты конфиденциальной информации от утечек и контроля пользователей в модуле DLP Guard реализованы следующие возможности.
Контроль доступа к файловой системе
В модуле DLP Guard реализована возможность отслеживания работы пользователей с файловыми ресурсами: локальными или сетевыми папками, целыми разделами. Речь идет о журналировании всех возможных операций: чтение, создание, удаление, изменение, сохранение объектов. При этом сами ресурсы, а также необходимый перечень информации настраиваются администратором безопасности.
Контроль доступа к внешним USB-устройствам
DLP Guard отслеживает действия, которые осуществляют пользователи со съемными USB-накопителями. Журналируются такие операции, как чтение и копирование объектов с и на подключённые внешние устройства, переименование и удаление файлов.
Мониторинг большого количества параметров
В процессе работы DLP Guard может осуществлять мониторинг большого количества различных параметров и процессов: изменения, вносимые в системный реестр Windows, запуск приложений и время работы с ними, набор текста на клавиатуре (клавиатурный шпион), распечатку документов, отправку электронных писем, HTTP-активность (поиск на открываемых веб-страницах заданных слов и выражений).
Теневое копирование
В системе предусмотрено копирование всех изменяемых и удаляемых файлов и ключей реестра. Информация копируется в указанную сетевую папку незаметно для пользователя.
Просмотр и запись экрана пользователя во время работы
В модуле DLP Guard реализована технология SafenSoft iCamera. Она позволяет администратору безопасности в режиме реального времени просматривать рабочий стол удаленного компьютера. При необходимости действия пользователя можно записать и, в будущем, воспроизвести или экспортировать из системы в формате AVI.
Оперативное уведомление об инцидентах
Система может отправлять администратору безопасности или любому другому ответственному лицу электронные письма, уведомляющие о регистрации в журнале предупреждений или тревожных сообщений.
Незаметность работы
Модуль DLP Guard абсолютно незаметен для пользователя. Установка его осуществляется удаленно, в процессе работы никаких сообщений не выдается. Это позволяет вести скрытый мониторинг сотрудников компании. При необходимости же открытого контроля их можно предупредить об этом заранее.
Централизованное управление
Модуль DLP Guard является частью системы SafenSoft Enterprise Suite. Соответственно, все администрирование осуществляется совместно с управлением остальными возможностями данного продукта. Подробнее об этом можно прочитать в обзоре, посвященном SafenSoft Enterprise Suite.
Эксплуатация модуля DLP Guard из SafenSoft Enterprise Suite
Процедура разворачивания продукта SafenSoft Enterprise Suite подробно описана нами в соответствующем обзоре, и с тех пор в этом процессе практически ничего не изменилось. Поэтому повторяться не будем, а сразу перейдем к эксплуатации DLP Guard.
Вся работа с данным модулем, равно как и работа с защитой рабочих станций от внешних угроз, осуществляется с помощью специальной программы – SafenSoft Admin Explorer. Ее окно состоит из трех частей. В левой показывается список доступных компьютеров. В ней предусмотрена возможность отображать все узлы Windows-сети или же только те, на которых установлены продукты SafenSoft. Кроме того, реализована функция фильтрации по различным параметрам параметрам.
При выборе в нем узла, на котором установлен DLP Guard, в центральной части окна SafenSoft Admin Explorer отображается статус наблюдения. В нем перечислены все ресурсы, за которыми может наблюдать модуль, а также состояние их мониторинга. Для отключения какого-то ресурса просто кликните мышкой по соответствующей иконке. Последующее включение наблюдения осуществляется точно так же.
Рисунок 1. Статус работы модуля DLP Guard из SafenSoft Enterprise Suite
Далее нажмите на ссылку "Настройка", расположенную в правой части окна SafenSoft Admin Explorer. При этом будет открыто окно параметров работы DLP Guard. Перейдите на вкладку "Сбор данных" и отметьте с помощью флажков, какую именно информацию должна сохранять в базе данных система защиты.
Рисунок 2. Вкладка "Сбор данных" окна настройки модуля DLP Guard из SafenSoft Enterprise Suite
Далее перейдите на вкладку "Теневое копирование", включите эту функцию и укажите папку, которая будет играть роль хранилища. Оптимальным вариантом будет использование сетевого ресурса, доступ к которому имеет только администратор. В этом случае здесь же можно указать данные учетной записи, обладающей достаточными для копирования привилегиями.
Рисунок 3. Вкладка "Теневое копирование" окна настройки модуля DLP Guard из SafenSoft Enterprise Suite
При необходимости можно настроить отправку уведомлений администратору безопасности. Для этого перейдите на вкладку "Оповещение", включите соответствующий флажок, введите данные SMTP-сервера и один или несколько почтовых ящиков получателей. Далее выберите, какие типы уведомлений будут отправляться.
Рисунок 4. Вкладка "Оповещения" окна настройки модуля DLP Guard из SafenSoft Enterprise Suite
На этом предварительная настройка заканчивается, теперь можно переходить непосредственно к работе с DLP Guard. Для ввода правил мониторинга перейдите на вкладку "Наблюдения" программы SafenSoft Admin Explorer. В ней задаются все ресурсы, за которыми может вестись наблюдение.
Для добавления файлового ресурса выберите соответствующий раздел, нажмите на кнопку "Добавить" и укажите в открывшемся окне нужный диск или папку. Далее отметьте, с помощью флажков, какие именно операции будут записываться в журнал: чтение, создание файлов или подпапок, удаление, переименование и пр. Подобным образом реализован мониторинг ресурсов системного реестра. Только в окне выбора нужно указывать не папку на жестком диске, а ветку системного реестра.
Третий раздел вкладки "Наблюдение" позволяет осуществлять мониторинг HTTP-активности пользователей. Речь идет о поиске в HTTP-трафике заданных слов. Фактически, это позволяет регистрировать факты посещения сайтов, на страницах которых есть нежелательные выражения. Задаются они с помощью кнопки "Добавить". Просто нажмите на нее и введите слово или выражение.
Рисунок 5. Указание ресурсов для мониторинга в модуле DLP Guard из SafenSoft Enterprise Suite
В том случае, если в процессе мониторинга срабатывает одно из заданных администратором безопасности правил, DLP Guard генерирует соответствующее предупреждение. Список предупреждений размещается на вкладке "Информация" окна SafenSoft Admin Explorer. Помимо этого, если была включена соответствующая функция, генерируемое уведомление отправляется по электронной почте администратору безопасности.
Рисунок 6. Просмотр предупреждений модуля DLP Guard из SafenSoft Enterprise Suite
Функция просмотра и записи рабочего стола удаленного компьютера вынесена на отдельную вкладку с названием SafenSoft iCamera. При переходе на нее сразу же начинается трансляция в режиме реального времени. То есть администратор безопасности или ответственный сотрудник может в любой момент посмотреть, чем занимается тот или иной пользователь. Запись действий осуществляется вручную при нажатии на специальную кнопку. Все созданные записи сохраняются в архиве, доступном с помощью календаря. Их можно просматривать, удалять и экспортировать в формат AVI.
Рисунок 7. Просмотр удаленного рабочего стола с помощью средств модуля DLP Guard из SafenSoft Enterprise Suite
Выводы
На первый взгляд может показаться, что модуль DLP Guard, входящий в состав продукта SafenSoft Enterprise Suite по всем параметрам уступает своим конкурентам. Он не позволяет контролировать HTTPS-трафик и IM-клиентов, в нем нет поддержки морфологии, цифровых отпечатков, шаблонов для формализованных данных и некоторых других технологий, ставших уже традиционными для DLP-систем. Но на самом деле это не так. DLP Guard в принципе нельзя сравнивать с отдельными, полнофункциональными решениями. DLP Guard не существует в виде отдельного продукта — сугубо как дополнение к системе защиты от внешних атак.
Модуль DLP Guard, входящий в состав комплекса SafenSoft Enterprise Suite, направлен скорее не на фиксацию факта уже произошедшей утечки, а на ее недопущение. Это позволяет реализовать его интеграцию с системой контроля за процессами, которые будут запускаться на подконтрольном компьютере. Связки пользователя, от имени которого запускается процесс, с запускаемым процессом позволяет ограничить возможности несанкционированного доступа к документам и действиям с ними. Так, например, пользователь может спокойно работать с документами в Word'е, но попытка отправить его по электронной почте в виде вложения успехом не увенчается. При необходимости текст, который пользователь будет набирать в IM или в почтовом сообщении тут же станет известен администратору безопасности. DLP Guard не позиционируется как отдельное, полнофункциональное решение, однако в сочетании с системой защиты от внешних атак даёт весьма неплохой уровень информационной защиты организации.
Однако нужно отметить, что речь идет в основном о защите от непреднамеренных утечек конфиденциальной информации, которые возникают по причине нарушения сотрудниками действующих политик информационной безопасности из-за низкой квалификации, ошибок или обычного разгильдяйства. От инсайдеров, которые сознательно пытаются "вынести" данные за пределы информационной системы DLP Guard, скорее всего, не поможет. Строго говоря, это является не минусом рассматриваемого продукта, а особенностью решений данного класса класса программ. Тем более, что по данным различных исследований (например, по данным проекта datalossdb.org) более 70% всех утечек конфиденциальных данных относятся к категории непреднамеренных.
Также DLP Guard может оказаться небесполезным в плане расследования инцидентов, связанных с утечкой конфиденциальной информации. Он позволяет контролировать широкий спектр ресурсов и процессов, включая съемные накопители, файловые ресурсы, системный реестр, печать документов, отправку электронных писем и пр. При этом DLP Guard не только протоколирует действия, но и осуществляет теневое копирование информации.
Некоторые возможности DLP Guard вообще можно считать уникальными для DLP-систем. К ним относятся клавиатурный шпион, контроль за запуском приложений, просмотр и запись удаленного экрана. Они позволяют использовать данный модуль для решения других задач. Например, для выявления и пресечения нецелевой деятельности сотрудников на рабочих местах.
При этом DLP Guard обладает такими преимуществами, как дешевизна и простота развертывания, простота настройки и использования. По поводу цены все ясно – модуль входит в состав продукта SafenSoft Enterprise Suite и не требует никаких дополнительных отчислений. Его развертывание осуществляется совместно с развертыванием системы защиты от внешних угроз. Данному модулю не нужны никакие выделенные сервера, реконфигурация корпоративной сети и пр. Единственное, что может потребоваться – дополнительное дисковое пространство для хранения теневых копий. Работает DLP Guard быстро, не отнимая при этом от сервера большого количества системных ресурсов. Таким образом, ограниченность доступных инструментов компенсируется низкой стоимостью владения.
Отдельно можно отметить крайне скудную справочную систему, точнее, практически полное отсутствие таковой. В комплекте поставки справки нет совсем, а при попытке ее вызова пользователь отправляется на официальный сайт. Но и там нас ждет буквально несколько кратеньких страниц и видеороликов. Поэтому настраивать систему и разбираться с нюансами ее работы пользователям приходится самостоятельно.