Обзор «Дозор-Джет» 5.0

1. Введение

2. Архитектура "Дозор-Джет" 5.0

3. Системные требования "Дозор-Джет" 5.0

4. Функциональные возможности "Дозор-Джет" 5.0

5. Развертывание "Дозор-Джет" 5.0

6. Работа с "Дозор-Джет" 5.0

7. Выводы

Введение

Программный комплекс "Дозор-Джет" является одним из старейших российских DLP-решений. Впервые он увидел свет  в 2000 году в виде почтового архива, и с тех пор  постоянно развивается, превратившись на сегодняшний день в комплексную многомодульную систему, оптимизированную для работы с большими объемами трафика. Согласно исследованиям "Дозор-Джет" занимает лидирующие позиции в своем сегменте отечественного рынка. Решение предоставляет службе безопасности компании весьма широкие возможности по расследованию инцидентов, связанных с утечками конфиденциальной информации.

Одним из ключевых особенностей программного комплекса "Дозор-Джет" является его постоянное развитие. Именно оно, в совокупности с обширным набором функциональных возможностей, позволило рассматриваемому продукту столь долго находиться в числе лидеров российского DLP-рынка.

Развивается комплекс сразу же в нескольких направлениях. Первое – увеличение количества контролируемых каналов передачи информации. Если когда-то "Дозор-Джет" был относительно простым почтовым архивом с функциями поиска, то на сегодняшний день он позволяет контролировать практически весь возможный спектр локальных и сетевых каналов утечки конфиденциальной информации, включая такие проблемные с точки зрения мониторинга, как HTTPS-трафик, Skype, IP-телефонию и пр.

Второе направление – увеличение производительности и отказоустойчивости работы системы защиты. Для "Дозор-Джет" оно очень актуально, поскольку данное решение рассчитано, в первую очередь, для средних и крупных организаций и, соответственно, оптимизировано для работы с большими объемами трафика.

Третье направление развития продукта удобство его использования. Речь идет о максимальном облегчении работы администраторов безопасности. Уже давно вопросами защиты информации в средних и крупных организациях занимаются не системные администраторы, а особые специалисты (офицеры безопасности). Им нужны свои инструменты, которые позволяют быстро и, желательно, наглядно перерабатывать большие объемы информации, расследовать инциденты, выявлять нелояльно настроенных сотрудников.

"Дозор-Джет" был и остается одним из наиболее развитых в технологическом плане DLP-продуктов. Уже в прошлой версии в нем были реализованы такие инструменты, как модуль контроля файловых ресурсов для обнаружения конфиденциальной информации на компьютерах сети, широкий спектр морфологических технологий, работа с цифровыми идентификаторами (улучшенный поиск шаблонной информации) и пр. Все они значительно упрощают расследование связанных с утечками конфиденциальной информации инцидентов.

С помощью "Дозор-Джет" службы безопасности компаний могут решить одновременно три типа задач:

• выявление и предотвращение утечек конфиденциальной информации, в том числе и расследование уже произошедших инцидентов;
• выявление случаев воровства, мошенничества и.т.п., что способствует повышению экономической безопасности компании в целом;
• оценка лояльности сотрудников, выявление нелояльно настроенных по отношению к компании работников.

В последний раз мы писали про рассматриваемый продукт в статье "Обзор функциональных возможностей комплекса "Дозор-Джет". С тех пор в нем произошло немало изменений по каждому из перечисленных выше направлений. И сегодня мы подробно разберем их.

Архитектура "Дозор-Джет" 5.0

Программный комплекс "Дозор-Джет" состоит из нескольких систем, которые работают самостоятельно, обмениваясь информацией друг с другом.

• Система архивирования и анализа. Ее можно назвать ядром системы защиты. Данная система принимает перехваченную другими информацию, осуществляет ее обработку и хранение. Также в ней реализован инструментарий для администратора безопасности.
• Система пассивного перехвата сообщений. Предназначена для обработки зеркалированного сетевого трафика. Включает в себя модули перехвата веб-почты, сообщений социальных сетей, резюме, IM-клиентов, протоколов SMTP и FTP. Фактически, обеспечивает контроль большинства сетевых каналов утечки в пассивном режиме.
• Система активного контроля. Используется для установки "в разрыв" и позволяет не только обнаруживать, но и предотвращать утечки конфиденциальной информации через Интернет. В ее состав входят модули для контроля SMTP- и веб-трафика. Данная система помимо защиты от утечек может также использоваться для мониторинга использования Интернета сотрудниками.
• Система инспекции файловых ресурсов. Данная система предназначена для обнаружения несанкционированного хранения конфиденциальной информации на файловых ресурсах локальной сети.
• Модуль контроля локальных станций. Система используется для контроля локальных каналов утечки информации (съемные устройства, буфер обмена, локальные и сетевые принтеры), а также зашифрованной информации, передаваемой через Интернет (HTTPS-трафика, сообщений и звонков Skype и пр.).

Некоторые из перечисленных системы не являются обязательными, лицензии на них приобретаются отдельно при необходимости. Это позволяет организациям выбирать только нужные им компоненты, не переплачивая за невостребованный функционал.

Системные требования "Дозор-Джет" 5.0

Указать точные системные требования для программного комплекса "Дозор-Джет" 5.0 невозможно, поскольку они зависят от количества пользователей, схемы подключения сервера, количества и типа передаваемого трафика, используемых политик фильтрации и пр. Разработчики указывают лишь примерные характеристики сервера, рассчитанного на 500 пользователей.

Функциональные возможности "Дозор-Джет" 5.0

В новой версии программного комплекса "Дозор-Джет" добавлены много важных функций, перечислим основные из них.

Значительное повышение производительности

Одной из ключевых особенностей последней версии "Дозор-Джет" является значительное повышение производительности комплекса. По заявлению разработчика он позволяет обрабатывать высокоскоростные потоки данных вплоть до 10 ГБит/с (по 2-3 Гбит/с на один сенсор).

Также в "Дозор-Джет" 5.0 была реализована возможность кластеризации системы фильтрации на основе платформы Crossbeam

Изменение системы хранения данных

В новой версии рассматриваемого продукта была существенно переработана подсистема хранения информации. В частности, все данные были разделены на две части. Метаданные и индексы записываются в базе данных, а "тяжелая" информация, например, вложения – в файловом хранилище. Такой гибридный подход позволяет существенно (по данным разработчика, до 60%) уменьшить объем, занимаемый базами данных системы, а также увеличить скорость выполнения наиболее востребованных операций (в частности, записи и поиска информации).

Немаловажным является то, что в "Дозор-Джет" 5.0 может использоваться не один, а несколько узлов хранения. Такой подход обеспечивает большую надежность хранения информации, а также увеличивает отказоустойчивость системы в целом.

Новый интерфейс администратора безопасности

Как мы уже говорили, сегодня к администраторам безопасности стекаются огромные объемы информации, нуждающейся в обработке и осмыслении. Большое количество сотрудников, используемых коммуникаций и адресатов переписок могут значительно осложнить выявление утечек и расследование инцидентов. В "Дозор-Джет" 5.0 был значительно переработан интерфейс, с которым работают администраторы безопасности. В нем были использованы современные технологии (например, AJAX), оптимизировано отображение информации, заметно облегчено выполнение большинства рутинных операций.

Помимо этого в интерфейсе появились новые инструменты, которые могут заметно облегчить работу администраторов безопасности. В частности, нельзя не упомянуть функцию "Досье", которая консолидирует всю информацию о персоне в одном окне, позволяя быстро проверить круг общения человека, увидеть статистику инцидентов с его участием и пр.

Новые возможности по управлению комплексом

В "Дозор-Джет" 5.0 появилась возможность управлять значительными по размеру распределенными системами защиты из одной точки. Для этого используется веб-интерфейс, с помощью которого ответственный сотрудник может администрировать все узлы непосредственно со своего рабочего компьютера или удаленно через Интернет с любого ПК или даже планшета.

Также в рассматриваемой версии были реализованы такие возможности, как постоянный мониторинг работоспособности всех используемых в решении сервисов и их автоматический перезапуск при необходимости. Все это заметно облегчает обслуживание развернутой системы защиты.

Модуль контроля рабочих станций

Агенты для контроля рабочих станций появились в прошлых версиях "Дозор-Джет". Однако в пятой они получили дальнейшее развития и увеличенную функциональность. На данный момент агенты обладают следующей функциональностью:

• перехват зашифрованного веб-трафика (протокол HTTPS);
• перехват зашифрованного трафика перехват и запись голосовых звонков систем мгновенных сообщений (Skype и Mail.Ru Agent);
• перехват данных, отправляемых на печать;
• перехват информации, копируемой в буфер обмена;
• теневое копирование файлов, записываемых на внешние накопители;
• перехват файлов, копируемых в облачные хранилища (Dropbox, "Яндекс.Диск") и пр.;
• автоматическое создание скриншотов рабочего стола.

Также в "Дозор-Джет" 5.0 появились средства управления агентами непосредственно из интерфейса администратора. В прошлых же версиях для этого использовались только средства Active Directory, что не всегда удобно.

Новые инструменты анализа

В "Дозор-Джет" 5.0 появились новые инструменты анализа перехваченного трафика. К ним относятся, в частности, поиск похожих текстов, шаблоны документов, категоризация сообщений и пр. Первый из этих инструментов обеспечивает автоматическое извлечение из текста ключевых фраз, его категоризацию и быстрый поиск в архиве текстов, схожих по тематике с анализируемым.

Шаблоны документов – это дальнейшее развитие системы поиска шаблонных данных. Их ключевое отличие заключается в возможности задавать в рамках одного условия целый ряд дополнительных, уточняющих проверок, которые позволяют значительно уменьшить вероятность ложного срабатывания правила. Например, можно исключать из проверки куски стандартного текста, учитывать количество совпадений в тексте и пр.

Модуль категоризации сообщений позволяет отнести сообщения одной из заданных администратором категорий. Это может использоваться в различных политиках, в том числе, для предотвращения доступа сотрудников к нежелательным веб-сайтам.

Развертывание "Дозор-Джет" 5.0

Описывать процесс развертывания "Дозор-Джет" 5.0 во всех деталях достаточно долго, да и не имеет особого смысла.

Во-первых, он достаточно сильно зависит от существующей архитектуры и состава модулей, которые планируется использовать. В частности, существует несколько схем установки и работы продукта в составе сетевой инфраструктуры. Если речь идет о контроле почтовой системы, то может использоваться один из двух доступных режимов: архивации или фильтрации. При выборе первого варианта продукт работает с копией трафика, ответвляемой, например, средствами почтового сервера. При использовании режима фильтрации "Дозор-Джет" 5.0 работает по принципу прокси-сервера: он устанавливается "в разрыв" между почтовым сервером и локальной сетью. В этом случае необходимо выполнить соответствующую настройку как самого продукта, так и почтового сервера.

Если речь идет о полном контроле интернет-каналов, то он осуществляется обычно с помощью системы пассивного перехвата сообщений. Она работает с копией сетевого трафика, который направляется на нее с помощью SPAN-порта маршрутизатора или по протоколу ICAP с прокси-сервера. Также в "Дозор-Джет" 5.0 реализована возможность блокировки передачи данных по протоколу SMTP и запрета посещения нежелательных веб-ресурсов. Для этого используется система активного контроля. Она устанавливается "в разрыв".

Для контроля локальных каналов утечки, записи трафика Skype и пр. используется модуль Агент "Дозор-Джет". Он устанавливается непосредственно на рабочих станциях.

Во-вторых, с каждой сборкой поставляется инструкция, в которой подробно описана вся установка и первичная настройка системы, в том числе, процедура развертывания СУБД, создания схемы базы данных и пр. Поэтому расписывать данный процесс мы уже не будем. Разберем только общие принципы.

Поскольку "Дозор-Джет" – продукт, работающий под управлением ОС семейства Linux, то он поставляется в виде набора пакетов, которые устанавливаются с помощью RPM от имени пользователя root. В относительно небольших организациях систему можно установить только на один сервер. В сетях, в которых планируется обработка больших объемов трафика, процесс инсталляции можно выполнить на нескольких серверах (как физических, так и виртуальных). После установки каждому серверу необходимо указать его роли – одну или сразу несколько.

Такой подход весьма удобен возможностью поэтапного масштабирования системы. Изначально можно установить ее на одном сервере. По мере роста контролируемого потока информации к этому серверу можно добавить специфические сервера, например, для пассивного перехвата и активной фильтрации. Их нужно только зарегистрировать на основном сервере, после чего они переходят в его "подчинение" – получают от него политики, передают необходимую информацию и пр. И так, постепенно, можно развивать систему защиты без необходимости коренного изменения ее архитектуры.

При необходимости программный комплекс "Дозор-Джет" может быть интегрирован с продуктом Device Lock компании Lumension. Интеграция осуществляется в рамках системы инспектирования файловых ресурсов. В результате нее система получает возможность осуществлять поиск конфиденциальной информации по архивам теневых копий. Это актуально для тех компаний, в которых уже развернуто и работает решение Device Lock.

Кроме того, "Дозор-Джет" можно интегрировать с существующими в компании системами, чтобы учитывать в политиках данные из них. Например, можно объединить решение со СКУД-системой, CRM и.т.п., используя программный интерфейс (API) для получения данных.

Работа с "Дозор-Джет" 5.0

Принципы работы администраторов безопасности с "Дозор-Джет" в новой версии не изменились (подробно работа с системой описана в прошлом обзоре). Поэтому описывать их мы не будем, а заострим свое внимание на новых возможностях рассматриваемого продукта.

И, в первую очередь, коснемся нового интерфейса администратора безопасности. Как мы уже говорили ранее, он стал более удобным и наглядным. Новый интерфейс состоит из трех основных частей – верхнего меню, списка объектов в левой части окна (какие именно объекты в нем отображаются зависит от того, в каком разделе находится пользователь) и основной рабочей области.

Рисунок 1. Новый интерфейс "Дозор-Джет" 5.0

Особенно удобен новый интерфейс при работе с информацией из архива. Она основывается на так называемых запросах – наборах условий для отбора данных. Сразу после установки в "Дозор-Джет" 5.0 присутствует целый ряд наиболее распространенных запросов. С их помощью можно быстро просмотреть все сообщения, только зашифрованные сообщения, факты передачи исполняемых файлов, общую статистику системы, топ пользователей по количеству инцидентов и объему переписки и пр.

В дополнение к ним администратор может создавать свои собственные произвольные запросы. Они сохраняются в системе и в будущем позволяют быстро находить нужную информацию. Запросы могут создаваться на основе правил. В этом случае они состоят из одного или нескольких условий, связанных с атрибутами сообщений. Второй вариант – работа через SQL-запросы. Запросы могут группироваться в многоуровневое дерево.

Рисунок 2. Пример запроса в "Дозор-Джет" 5.0

Помимо этого в системе появился так называемый «Быстрый поиск». Суть его заключается в следующем. В верхней части окна есть ряд полей, в которые можно вводить информацию: тип сообщения, его автор, адресат, имя файла, дата и пр. Заполнив одного или несколько из этих полей администратор может нажать на кнопку "Искать" и получить полный список сообщений, удовлетворяющих заданным условиям. При этом автоматически создается новый запрос и помещается в раздел "Быстрый поиск", так что в будущем вводить повторно все данные уже будет не нужно.

Рисунок 3. Быстрый поиск в "Дозор-Джет" 5.0

Изменилась в "Дозор-Джет" 5.0 и работа с результатами запросов. Теперь они отображаются в основной рабочей области сразу же на нескольких вкладках. На первой приводится непосредственно список найденных сообщений, здесь их можно открыть и просмотреть. На второй вкладке показывается статистика (по результатам выполнения запроса) по адресам отправителей и получателей с указанием объемов переданной  информации.

На вкладке "Отчет" можно формировать различные типы отчетов по результатам выполнения запроса с группировкой по тем или иным полям. Вкладка "Файлы" используется для просмотра файлов, переданных в рамках отобранных сообщений. Ну и, наконец, последняя вкладка показывает персоны, которые участвовали в отобранных сообщениях качестве отправителей или адресатов.

Рисунок 4. Результат выполнения запроса в "Дозор-Джет" 5.0

Отобранные сообщения можно не только просматривать, но и выполнять различные действия – устанавливать свои пометки, удалять из архива, экспортировать, искать схожие по тематике сообщения и пр.

Другим важным изменением в интерфейсе "Дозор-Джет" 5.0 стало появление такого инструмента, как "Досье". По сути, он является частью адресной книги системы защиты, которая автоматически обновляется путем интеграции с Active Directory. Помимо этого в рамках "Досье" реализован редактор адресной книги, с помощью которого можно вручную добавлять, изменять и удалять персоны.

Для каждой персоны в системе хранится полный список его адресов и контактов в различных системах коммуникации (адреса электронной почты, номер ICQ, логин Skype и пр.). Это позволяет собрать в едином месте всю переписку человека вне зависимости от того, через что она велась.

 На странице каждой персоны, помимо основной информации, отображается статистика связанных с ней инцидентов, статистику количества сообщений и список адресатов, с кем она переписывалась. Все это позволяет администратору безопасности быстро и в наглядной форме проконтролировать сотрудника.

"Досье" – это одна из наиболее интересных функций, появившихся в "Дозор Джет" 5.0. Её главным отличием является переход от неких обезличенных, в общем-то, идентификаторов, непосредственно к людям. Речь идет о том, что администратор безопасности может не только отслеживать общение типа "E-mail – E-mail", "ICQ UIN – ICQ UIN", а взаимодействие конкретных лиц вне зависимости от используемого способа связи. Это принципиальное отличие, которое позволяет существенно упростить расследование инцидентов, связанных с утечками конфиденциальной информации.

Более того, возможность "Досье" позволяют выяснить о человеке многое путем анализа его круга общения, интересов, посещаемых им сайтов, публикуемой в блогах или на форумах информации и пр. Все это позволяет составить довольно полную картину о попавшем в поле зрения службы безопасности сотруднике и оценить связанные с ним информационные риски.

Рисунок 5. Пример досье в "Дозор-Джет" 5.0

В "Дозор-Джет" 5.0 изменилась система управления агентами. Теперь она работает следующим образом. Все зарегистрированные в системе агенты разделяются на группы. Каждой из групп назначается собственная политика, которая состоит из набора условий и действий, осуществляемых при их выполнении (например, заблокировать, разрешить, уведомить пользователя или администратора). Политика отвечает за контекстный анализ данных.

Рисунок 6. Группа агентов в "Дозор-Джет" 5.0

Также каждой группе назначается набор параметров. В параметрах можно указывать области перехвата (определять, будут или нет агенты контролировать накопители, IM-клиенты, принтеры, буфер обмена, делать скриншоты, записывать голосовые переговоры и пр.), а также настраивать работу агентов: задавать исключения, имена процессов, которые считаются средствами передачи информации и пр.

Рисунок 7. Параметры работы агентов в "Дозор-Джет" 5.0

После настройки система автоматически контролирует состояние агентов, собирает с них информацию и сохраняет ее в общем архиве, где она может обрабатываться наравне с другим данными (о работе с архивом см. выше).

Выводы

Сегодня мы достаточно подробно рассмотрели новую версию одного из лидеров российского DLP-рынка – программного комплекса "Дозор-Джет". На сегодняшний день он является одним из наиболее популярных в нашей стране инструментов контроля утечек и расследования инцидентов, связанных с утечками конфиденциальной информации.

Поскольку данное решение предназначено, в первую очередь, для средних и крупных организаций и оптимизировано для обработки значительных объемов данных, одним из основных направлений его развития является увеличение производительности и отказоустойчивости работы. В частности, рассматриваемая версия позволяет обрабатывать потоки информации до 10 Гбит/с (до 2-3 Гбит/с на один сенсор). Эти изменения не так заметны внешне, однако они очень важны для клиентов.

Отрадно, что разработчики "Дозор-Джет" сделали серьезные шаги в сторону оптимизации интерфейса поиска информации в архиве и ее анализа, что значительно упрощает работу администраторов безопасности. В прошлой версии некоторые моменты, в частности, работа с архивом, могли вызывать затруднения у пользователей. Поиск по архиву перехваченного трафика теперь осуществляется несколькими кликами мыши. Серьезно помогает в этом больше количество фильтров поиска.

Еще одним положительным моментом является увеличение функциональности Агента "Дозор-Джет". Особенно, появление в нем контроля съемных накопителей и локальных и сетевых принтеров. Правда, нельзя не отметить, что в плане гибкости и управляемости он пока отстает от конкурентов. Например, хотелось бы видеть в нем возможность настройки разрешить копирование данных только на определенные накопители, контроля всех локальных портов.

Также нельзя забывать и про обширный набор инструментов, перешедших с прошлой версии. К ним относится большой спектр функций, связанных с морфологией, технология поиска по цифровыми идентификаторам, модуль поиска конфиденциальных данных в локальной сети и пр. Совместное использование этих инструментов позволяет построить весьма гибкую политику защиты данных.

Достоинства:

• значительное увеличение производительности;
• оптимизация системы хранения: уменьшение занимаемого архивом места, увеличение скорости записи и поиска, возможность использования нескольких узлов хранения;
• значительное улучшение интерфейса администратора безопасности;
• появление новых инструментов анализа: автоматического извлечения ключевых фраз, категоризации текстов, поиск текстов, схожих по тематике, поиск по шаблонам документов;
• появление контроля съемных накопителей и принтеров;
• появление функций контроля пользователей.

Недостатки:

• недостаточно гибкое управление агентами в плане контроля съемных накопителей;
• отсутствие возможности управления доступом к различным устройствам и локальным портам.