Обзор Falcongaze SecureTower 4.2

Обзор Falcongaze SecureTower 4.2



Не так давно на Anti-Malware был опубликован анализ рынка DLP в России, в котором прогнозировалось развитие данного сегмента, и, в целом, рост популярности тематики информационной безопасности. На данный момент можно констатировать факт устойчивого увеличения спроса на решения для защиты от внутренних угроз, и, как следствие его, появления на этой волне новых, не уступающих по своим функциональным возможностям, игроков на рынке DLP-систем. Одним из таких решений является продукт Falcongaze SecureTower.

Сертификат AM Test Lab

Номер сертификата: 95

Дата выдачи: 10.11.2011

Срок действия: 10.11.2016

Реестр сертифицированных продуктов »

 

 

1. Введение

2. Системные требования Falcongaze SecureTower

3. Функциональные возможности SecureTower

4. Состав Falcongaze SecureTower

5. Развертывание Falcongaze SecureTower

6. Настройка политик безопасности Falcongaze SecureTower

7. Выводы

 

 

Введение

В последнее время ситуация на рынке DLP-решений изменилась таким образом, что достаточно оптимистичные прогнозы на 2010 год не только оправдались, но фактические результаты оказались даже еще лучше. В следствие этого стоило ожидать на рынке появления новых игроков, а также активизации тех, кто уже был на нем, но не проявлял видимой активности. Это вполне закономерно, и является положительной тенденцией. Причем новички на DLP-рынке имеют "свежий взгляд" на решение проблем заказчика и, зачастую, обладают достаточно интересными функциональными особенностями, которые для многих компаний могут оказаться весьма полезными.

Одной из DLP-систем новой волны является продукт Falcongaze SecureTower от компании Falcongaze. Разработчики вывели его на рынок сравнительно недавно – осенью 2010 года. Falcongaze SecureTower – это полностью программный продукт, который позволяет контролировать максимально возможное количество каналов потенциальной утечки конфиденциальных данных за рамки периметра информационной системы предприятия, включая и широкий ряд интернет-сервисов. Для этого в нем реализованы технологии контентного, атрибутивного и статистического анализа, возможность обработки зашифрованного трафика, механизмы точной идентификации нарушителей (в том числе и при работе с терминальными серверами), контроль мобильных рабочих мест, гибкая система разграничений прав доступа и многое другое. Отдельно стоит отметить поддержку широкого спектра IM-мессенджеров, включая Skype. Причем последний поддерживается полностью: перехватывается весь трафик, включая текстовые сообщения, передаваемые файлы, SMS и все голосовые переговоры. Также реализован контроль внешних устройств, благодаря интеграции с решениями сторонних разработчиков.

Помимо этого, система SecureTower обладает функциональными возможностями для контроля активности сотрудников. Они позволяют делать снимки экранов всех рабочих мест сети, отслеживать связи работников друг с другом и внешними контактами, формировать подробные и наглядные отчеты. Система отчетности интерактивна, и позволяет в динамике наблюдать за развитием событий в информационном поле компании.

Перечисленные функции позволяют не только расширить область применения SecureTower, за счёт его использования для контроля над продуктивностью работы персонала или использованием корпоративных ресурсов, но и дают дополнительные возможности в расследовании случившихся инцидентов, а также своевременной локализации и предотвращении лишь зарождающихся.

 

Системные требования Falcongaze SecureTower

Минимальные системные требования для развертывания Falcongaze SecureTower приведены в таблице*.

 Сервер перехватаСервер обработки данныхПользовательский интерфейс
ПроцессорPentium 2 ГГц  
Оперативная память2 Гб (+0,5 Гб на каждые 100 отслеживаемых рабочих станции)2 Гб2 Гб
Жесткий диск100 Мб110 Мб для установки и минимум 30% от объема перехваченного трафика для хранения поисковых индексов300 Мб
Операционная система32- или 64-битная Microsoft Windows Server 2003/Server 200832- или 64-битная Microsoft Windows Server 2003/Server 200832- или 64-битная Microsoft Windows XP/Vista/7/Server 2003/Server 2008
Дополнительные требования2 сетевых адаптера 100/1000 МбитСетевой адаптер 100/1000 Мбит, Windows .NET Framework 4.0 и вышеСетевой адаптер 100/1000 Мбит, Windows .NET, видеокарта с поддержкой DirectX 7.0 и выше

*Системные требования индивидуальны для каждого компонента и в существенной степени зависят от характеристик сети и ее загруженности.

Falcongaze SecureTower адаптирован для работы на 32- и 64-битной платформах и в полной мере использует возможности многопроцессорных и многоядерных систем

 


Функциональные возможности Falcongaze SecureTower

Falcongaze SecureTower – полнофункциональное DLP-решение, с помощью которого можно контролировать широкий ряд  возможных каналов утечки конфиденциальной информации. Также это еще и инструмент управления репутационными, операционными и даже правовыми рисками. Falcongaze SecureTower помогает выявить потенциальные угрозы, оценить вероятность их возникновения и предоставить необходимый материал для последующей разработки стратегии с целью снижения вероятности возникновения рисков или минимизации возможных последствий. Для этого в ней реализованы следующие функциональные возможности.

Контроль широкого спектра каналов утечки конфиденциальных данных

Falcongaze SecureTower позволяет контролировать большое число интернет-сервисов, которые могут использоваться для передачи как входящей, так и исходящей информации. К ним относится электронная почта, веб-трафик (письма, отправляемые из веб-интерфейсов, форумы, сообщения в социальных сетях и пр.), IM-клиенты (включая Skype, ICQ, QIP, Windows Live Messenger, Miranda, Google Talk, "Mail.Ru агент" и многие другие). Помимо этого, данное решение может контролировать подключаемые к рабочим станциям внешние устройства, а также локальные и сетевые принтеры.

Полный контроль Skype

Контроль Skype, в силу некоторых особенностей, часто становится камнем преткновения для DLP-систем. В Falcongaze SecureTower реализована полная поддержка этой программы, включая функцию записи голосового трафика. Все перехваченные разговоры можно прослушать из клиентской консоли, просто кликнув на заинтересовавшем вас диалоге. При этом существует возможность указания контактов-исключений, для которых перехват трафика не будет осуществляться.

Контроль передаваемых файлов

В рассматриваемом решении реализована возможность перехвата и анализа содержимого файлов, передаваемых по протоколам HTTP, FTP, электронной почте, через IM-клиенты. При этом их тип может определяться не только по расширению, но по содержимому путем сравнения с сигнатурами, содержащимися в базе программы. Отдельно следует отметить обозначение в общей массе файлов, которые защищены паролями, детектирование их форматов и мгновенное оповещение офицера безопасности об их пересылке.

Поддержка защищенных протоколов

Falcongaze SecureTower поддерживает перехват и анализ трафика, передаваемых в зашифрованном виде по SSL-протоколам (HTTPs, FTPs, POPs, SMTPs, IMAPs), а также защищенным протоколам IM-клиентов.

Контроль почтовых серверов Microsoft Exchange Server 

Falcongaze SecureTower может быть интегрирован с Microsoft Exchange Server 2007/2010 для осуществления проверки на соответствие политикам безопасности не только внешней, но и внутренней переписки сотрудников компании.

Морфологический анализ трафика

В рассматриваемом продукте реализована система лингвистического анализа трафика, включающая в себя контроль ключевых слов или целых фраз с учетом особенностей морфологии русского языка.

Контроль информации с полной или частичной транслитерацией

Falcongaze SecureTower проверяет все данные на содержание транслитерированных слов или символов. При этом все данные проверяются по правилам как строгой, так и ослабленной транслитерации. То есть, при проверке учитываются несколько разных способов транслитерации, что повышает эффективности работы системы. И, даже если в словах, написанных кириллицей, заменить лишь часть букв на аналогичные по написанию латинские, подобный трюк будет распознан системой.

Нечеткий поиск

Функция нечеткого поиска позволяет корректно проверять на соответствие политикам безопасности информацию, даже если в ней имеются опечатки и грамматические ошибки. Это очень важно при контроле сообщений мессенджеров или постов в блогах и социальных сетях, а также в случае контроля переведенных в электронный формат бумажных документов.

Поиск по регулярным выражениям

Поиск по регулярным выражениям, реализованный в Falcongaze SecureTower, обеспечивает возможность определения попыток передачи формализованных данных. Помимо всего прочего, данный инструмент может использоваться для защиты персональных данных, которые, в большинстве своем, легко описываются шаблонами: паспортные данные, ИНН, телефон и пр. Можно задавать любое количество таких шаблонов самостоятельно с учетом специфики данных, находящихся в работе у компании.

Технология цифровых отпечатков

Технология цифровых отпечатков предназначается для защиты от утечек конфиденциальных документов. Суть ее заключается в явном указании системе конфиденциальных файлов или папок, их содержащих. При этом будет сформирован массив цифровых отпечатков этих документов, с которым и будут сравниваться все отправляемые за пределы информационной системы предприятия объекты.

Защита персональных данных в БД

Эта функция рассматриваемой системы заключается в сравнении пересылаемой информации с данными из баз данных, в которых может храниться персональная информация работников или клиентов. Администратор может настроить политику таким образом, чтобы в качестве угрозы воспринималась попытка передачи любого значения из одного поля БД или сочетания значений из двух и более полей (например, пересылка только фамилии может быть разрешена, а вот фамилия совместно с именем и номером телефона уже запрещена).

Составные правила безопасности

В системе предусмотрено совмещение разных способов контроля информации (лингвистический, статистический, атрибутивный, цифровые отпечатки и др.) и возможность создания многокомпонентных политик безопасности.

Контроль мобильных рабочих мест

При отсутствии связи мобильного устройства (например, ноутбук или нетбук), на котором установлена программа-агент с сетью компании, все передаваемые данные и снимки экрана будут помещаться в резервное хранилище, а при восстановлении соединения отправляться на сервер для последующей индексации и проверки на соответствие существующим политикам информационной безопасности.

Точная идентификация пользователя

Falcongaze SecureTower позволяет в автоматическом режиме привязать все учетные записи коммуникационных каналов (мессенджеры, Skype, электронная почта), а также IP-адрес, используемые каждым пользователем, к их карточкам, находящимся в системе. Карточки пользователей, в свою очередь, интегрированы с Active Directory и автоматически заполняются всей имеющейся там информацией. Это позволяет максимально точно установить отправителя информации и его адресата. Также Falcongaze SecureTower корректно определяет отправителя и реципиента, даже работая в сетях с использованием терминальных серверов.

Оповещения об инцидентах

В Falcongaze SecureTower реализована система автоматического оповещения обо всех случаях нарушения заданных политик безопасности. В случае обнаружения инцидента, ответственному сотруднику службы информационной безопасности будет незамедлительно отослано электронное письмо с уведомлением об этом инциденте и его кратким описанием.

 

Формирование архива бизнес-коммуникаций компании

Весь перехваченный SecureTower трафик анализируется и сохраняется в базе данных. Программа создаёт своеобразный архив для ведения «истории» внутрикорпоративных бизнес-процессов и событий. Это позволяет расследовать любой случай утечки конфиденциальной информации в ретроспективе. Обратившись к определенному сообщению, можно просмотреть всю историю общения абонентов.

Фильтрация трафика при перехвате

В Falcongaze SecureTower реализована система фильтрации трафика по разным признакам (IP-адресам, MAC-адресам, сетевым портам, протоколам, именам учетных записей и пр.) перед ее анализом. Это позволяет администратору настроить систему контроля таким образом, чтобы она проверяла только нужный трафик, а также сформировать список исключений.

Разграничение прав доступа

В Falcongaze SecureTower существует возможность определять права пользователей,  ограничивая круг доступной информации, что позволяет настроить доступ к функционалу системы с учетом любой структурной и организационной иерархии, существующей в компании. При необходимости можно ограничить возможности пользователя SecureTower, например, в поиске данных по всей перехваченной информации, или в правах на просмотр статистики активности сотрудников с возможностью исключения по заданному списку. Также можно фактически запретить доступ к центру обеспечения безопасности или ограничить пользователю права на создание, редактирование и удаление правил безопасности. Таким образом, можно назначить начальнику отдела права для наблюдения лишь за своими подчиненными, или позволить офицеру безопасности видеть лишь те документы, которые определены системой Falcongaze SecureTower как конфиденциальные.

 

Граф-анализатор взаимосвязей персонала

Система интерактивных отчетов

В рассматриваемом продукте есть система отчетности, которая позволяет ответственным сотрудникам получать как детальную, так и суммарную информацию по сетевой активности сотрудников компании. Стоит отметить, что отчеты могут быть представлены не только в табличном виде, но и в виде схем. При этом отчеты интерактивны и позволяют непосредственно при изучении инцидента перейти к просмотру заинтересовавшего сообщения, диалога в мессенджере или конкретного документа. Это обеспечивает динамику и оперативность при изучении статистики и составлении аналитических отчетов, что очень важно для сферы информационной безопасности. Возможность экспортирования всех переписок в документы, содержащие статистические данные об участниках инцидента и дополнительную информацию, делает полученные данные наглядными и пригодными для использования в других формах различной отчетности.

Граф-анализатор взаимосвязей персонала

Граф-анализатор взаимосвязей персонала позволяет службе информационной безопасности в интерактивном режиме отслеживать активность сотрудников в плане общения друг с другом, а также с внешними контактами. Такой анализ позволяет выявлять нелояльно настроенных работников, определить зарождение конфликтной ситуации в коллективе и выявить сотрудников, которые, к примеру, много общаются с конкурентами. Это способствует своевременному предотвращению зарождающихся инцидентов, связанных с утечками конфиденциальной информации, а не только констатации свершившегося уже факта.

Создание снимков экрана рабочих мест

В Falcongaze SecureTower реализована возможность автоматического  (убрано, ибо попытки снятия снимков экрана обнаруживаются разного рода проактивными защитами антивирусов. Достаточно вспомнить, как KAV в своё время реагировал на подобные действия QIP. -_Редактор) создания скриншотов их рабочих столов с заданным интервалом и их сохранения в централизованном хранилище. Данная  функциональная возможность позволяет не только получить подробную информацию о том, чем сотрудники занимаются на своих местах в рабочее время, но и пополнить уже полученные с помощью Falcongaze SecureTower данные дополнительными сведениями, важными при расследовании инцидентов или анализе поведенческих факторов.

Централизованная система администрирования

В Falcongaze SecureTower существует возможность централизованного выполнения всего цикла администрирования: установки и настройки системы, установки и удаления агентов, контроля сетевого трафика и пр.

Централизованная система управления с помощью двух консолей

В состав рассматриваемого продукта входит две консоли управления. Одна предназначена для системного администратора. С ее помощью можно настраивать все компоненты системы, определять общие параметры ее работы, правила фильтрации трафика, осуществлять удаленную установку агентов на рабочие станции сети и пр. Вторая используется для работы офицера безопасности. С ее помощью можно просматривать перехваченные данные, осуществлять поиск по ним, анализировать сетевую активность пользователей и пр.

Возможности масштабирования

Масштабирование Falcongaze SecureTower осуществляется путем внедрения в сеть дополнительных серверных компонентов, отвечающих за перехват или обработку данных. Это позволяет достаточно легко увеличивать производительность системы без необходимости изменения ее архитектуры и дополнительных затрат.

Гибкая система лицензирования

При покупке системы Falcongaze SecureTower, заказчик может варьировать выбор контролируемых каналов утечки данных. Например, ограничиться контролем лишь корпоративной и внешней почты, и таким образом не переплачивать за не интересующий его функционал.

 

Состав Falcongaze SecureTower

Falcongaze SecureTower – клиент-серверная система, состоящая из ряда различных компонентов, отвечающих за выполнение тех или иных функций. Все они подразделяются на две группы: серверные (основа системы, работающая на серверах) и пользовательская (две консоли управления).

К серверным относятся следующие компоненты Falcongaze SecureTower.

  • Сервер перехвата трафика. Обеспечивает перехват сетевого трафика и его передачу в базу данных.
  • База данных. Отвечает за хранение перехваченного трафика.
  • Сервер обработки информации. Предназначен для обработки перехваченного трафика: индексации данных и поиска по ним, анализа информации, отправки уведомлений, формирования отчетов и пр.
  • Сервер контроля рабочих станций. Используется для установки агентов на рабочие станции и мониторинга их работы, перехвата шифрованного трафика и информации, которая отправляется на внешние устройства.

К пользовательским относятся следующие компоненты Falcongaze SecureTower.

  • Консоль администратора. Программное обеспечение с графическим интерфейсом, предназначенное для настройки параметров работы остальных компонентов системы, управления установкой агентов, просмотра статистики перехвата трафика и пр.
  • Консоль службы безопасности. Программное обеспечение с графическим интерфейсом для просмотра и анализ перехваченных данных.

Помимо этого в состав Falcongaze SecureTower входит программа-агент, которая не имеет своего графического интерфейса. Она, в случае надобности, удаленно и незаметно для пользователей устанавливается из консоли администратора на все компьютеры сети и осуществляет перехват трафика и его передачу в систему для анализа.

 

Рисунок 1. Схема взаимодействия компонентов Falcongaze SecureTower 

Обзор Falcongaze SecureTower

 

Развертывание Falcongaze SecureTower

Процедура развертывания Falcongaze SecureTower начинается с разработки архитектуры системы защиты. На данном этапе особое внимание необходимо уделить серверу перехвата, поскольку на него приходится большая нагрузка, требующая немалых вычислительных мощностей. Именно поэтому разработчики рекомендуют развертывать его на отдельном физическом сервере, а не совмещать его с другими сервисами. Это касается и остальных компонентов системы. Однако в небольших сетях с относительно малым потоком сетевого трафика база данных и сервера обработки информации и контроля рабочих станций могут совмещаться на одном физическом сервере.

Сам перехват трафика осуществляется по двум схемам: централизованный перехват путем зеркалирования и перехват с помощью специальных программ-агентов.

Централизованный перехват

Для этого метода используется управляемый коммутатор, оборудованный портом зеркалирования. К этому порту и нужно подключить сервер перехвата. Коммутатор обычно устанавливается между внутренней сетью и Интернетом (или между сегментами сети в крупных ИС). Здесь нужно отметить очень важный момент. Коммутатор должен стоять до, а не после интернет-шлюза. В противном случае весь трафик будет иметь один источник (внешний IP-адрес интернет-шлюза).

Связь сервера перехвата с остальным компонентами защиты лучше всего организовать не через управляемый коммутатор (поскольку этот трафик также будет зеркалироваться, что может заметно увеличить нагрузку на сервер), а через отдельный канал, к примеру, через существующий коммутатор. Естественно, для этого нужно, чтобы компьютер, на котором установлен сервер перехвата, обладал двумя сетевыми адаптерами. Здесь нужно отметить еще один очень важный момент. В настройках сетевой карты, которая будет использоваться для приема зеркалированного трафика, необходимо отключить функцию Large Send Offload.

При необходимости можно задать правила фильтрации трафика по IP-адресам и MAC-адресам.

Перехват с помощью агентов

Трафик из Skype, а также любой другой шифрованный трафик (HTTPs, FTPs, SSL, все шифрованные протоколы мессенджеров) перехватывается с помощью агентов, которые централизованно устанавливаются на все рабочие станции сети сервером контроля рабочих станций из консоли администратора. Также при помощи агентов можно перехватывать данные, идущие по незащищенным протоколам и снимать скриншоты рабочих столов пользователей.

Агенты отправляют все перехваченные данные серверу для обработки. Сервер, в свою очередь, направляет полученную от агентов информацию в базу данных. Опционально программа-агент может не отображаться в списке процессов пользователя, запущенных на компьютере.

Выбрав способ организации работы системы SecureTower, можно переходить непосредственно к установке системы. Процесс инсталляции очень прост и осуществляется с помощью привычного пошагового мастера. Несколько первых этапов достаточно стандартны – принятие лицензионного соглашения, ввод папки установки и пр.

Единственным шагом, на котором стоит остановить внимание, является этап выбора компонентов установки. Как мы уже говорили, предпочтительнее разнести серверные части защиты на разные аппаратные платформы. Для выбора инсталлируемых на текущий компьютер компонентов можно самому отметить маркерами нужные пункты или указать в выпадающем списке роль компьютера, на который осуществляется установка. Во втором случае нужные компоненты будут выделены автоматически.

 

Рисунок 2. Выбор компонентов в процессе установки Falcongaze SecureTower

Обзор Falcongaze SecureTower

 

После завершения установки Falcongaze SecureTower необходимо настроить базу данных. Сделать это можно с помощью консоли администратора. Ее нужно запустить и подключиться к локальному или удаленному серверу.

 

Рисунок 3. Подключение Falcongaze SecureTower к серверу

Обзор Falcongaze SecureTower

 

При установке соединения с сервером будет открыто главное окно консоли администратора, которое состоит из целого ряда разделов. Мы рассмотрим полный цикл настройки работы системы только по схеме с агентами, поскольку настройка централизованного перехвата проходит аналогично и будет просто дублировать следующую далее информацию.

 

Рисунок 4. Главное окно консоли администратора Falcongaze SecureTower

Обзор Falcongaze SecureTower

 

Следующий шаг – настройка сервера контроля агентов. В первую очередь разработчики рекомендуют указать пользователя, от имени которого он будет запускаться (по умолчанию он запускается от имени системной учетной записи). Для этого необходимо открыть раздел "Сервисы", найти в нем блок "Сервер контроля агентов" и нажать на ссылку "Параметры запуска сервиса". В открывшемся окне нужно указать пользователя, который имеет права локального администратора на рабочих станциях (в частности, можно использовать учетную запись администратора домена). Здесь же необходимо включить автоматический запуск сервиса при старте системы.

 

Рисунок 5. Настройка сервера контроля агентов в консоли управления Falcongaze SecureTower

Обзор Falcongaze SecureTower

 

Далее нужно указать базу данных, в которую агенты будут передавать информацию. Понятно, что это должна быть та же база, которую использует сервер перехвата. Для ее настройки необходимо перейти в раздел "Агенты" и нажать на кнопку "Выбрать хранилище данных". В открывшемся окне необходимо выбрать тип СУБД (на данный момент реализована поддержка MS SQL Server, Oracle, PostgreSQL, SQLite), после чего указать параметры подключения к базе данных.

 

Рисунок 6. Выбор хранилища данных для агентов в консоли администратора

Обзор Falcongaze SecureTower

 

После этого нужно установить агенты на компьютеры локальной сети. Сделать это можно в разделе "Агенты" консоли администратора. И здесь также все предельно просто. Нужно выбрать компьютеры, на которые необходимо установить агент или активировать пункт "Устанавливать агенты на все компьютеры сети" (при этом можно задать список исключений) и нажать на кнопку "Применить изменения".

 

Рисунок 7. Центр контроля агентов Falcongaze SecureTower – установка агентов в сети

Обзор Falcongaze SecureTower

 

Агенты контроля рабочих станций позволяют осуществлять автоматическую привязку контактной информации (учетные записи Skype, номера ICQ, почтовые адреса, IP-адреса) к пользователям. Это позволяет безошибочно определять отправителя и получателя информации. Активировав данный пункт, можно определить в расширенных настройках типы контактной информации, которая должна автоматически привязываться к пользователю.

 

Рисунок 8. Автоматическая привязка контактной информации к пользователям

Обзор Falcongaze SecureTower

 

При необходимости можно настроить систему авторизации пользователей. Для этого в разделе "Пользователи" нужно включить синхронизацию с Active Directory и авторизацию пользователей (реализована полная интеграция с Active Directory). Если же в вашей сети не развернут домен, то учетные записи придется ввести вручную. В SecureTower реализована также и поддержка авторизации пользователей с помощью собственной системы аутентификации.

 

Рисунок 9. Управление пользователями в консоли администратора Falcongaze SecureTower 

Обзор Falcongaze SecureTower

 

Еще одна важная операция – указание, какой именно трафик будут перехватывать агенты. Выполнить ее можно в специальном окне, вызываемом при нажатии на кнопку "Расширенные настройки агентов" в разделе "Агенты". Это окно состоит из нескольких вкладок. На первой можно включить или отключить контроль всего трафика, генерируемого Skype (переписку, SMS-сообщения, голосовой трафик и пр.).

 

Рисунок 10. Управление контролем трафика Skype в консоли администратора Falcongaze SecureTower 

Обзор Falcongaze SecureTower

 

Вторая вкладка позволяет указать, какой именно трафик будет перехватываться агентом: зашифрованный, открытый или обоих типов. Стоит отметить, что в большинстве случаев достаточно оставить только первый вариант. Здесь же можно указать протоколы, с которыми будет работать агент.

Следует отметить, что при одновременном централизованном перехвате и перехвате всего трафика агентами информация, идущая по открытым незащищенным протоколам, в базе будет дублироваться. Поэтому необходимо распределить трафик для перехвата (например, весь нешифрованный трафик будет перехватываться централизованно, а данные, передаваемые по шифрованным протоколам и снимки экрана – агентами).

 

Рисунок 11. Настройка типа перехватываемого агентами трафика в консоли администратора Falcongaze SecureTower 

Обзор Falcongaze SecureTower

 

Третья вкладка используется для управления процедурой автоматического создания агентами снимков экрана рабочих столов компьютеров, на которых они установлены. После включения опции необходимо задать периодичность. Снимки экранов можно делать не только в формате png, но и в jpg, при этом можно варьировать настройки качества сохраняемых в базу изображений, а также задавать им пропорционально меньший размер. Всё это позволяет уменьшить объем данных в базе.

Четвертая же вкладка позволяет задавать исключения – контакты Skype и ICQ, при общении с которыми трафик не будет контролироваться, определённые почтовые ящики, процессы, пользователи и IP-адреса.

 

Рисунок 12. Настройка исключений в правилах перехвата трафика агентами в консоли администратора Falcongaze SecureTower 

Обзор Falcongaze SecureTower

 

Последняя вкладка позволяет защитить агенты от удаления или отключения пользователями. При активации этой функции система будет предупреждать сотрудников о недопустимости этих действий и перезагружать компьютер с последующим восстановлением работы агента при попытке их выполнения. Также агент можно скрыть от глаз пользователя в списке процессов, выполняющихся на компьютере.

нужно установить агенты на компьютеры локальной сети. Сделать это можно в разделе "Агенты" консоли администратора.  все предельно просто. Нужно выбрать компьютеры, на которые необходимо установить агент или активировать пункт "Устанавливать агенты на все компьютеры сети" (при этом можно задать список исключений) и нажать на кнопку "Применить изменения".

 

Рисунок 13. Защита агента в Falcongaze SecureTower 

Обзор Falcongaze SecureTower

 

Ну и в заключение требуется настроить индексирование перехваченного трафика для обеспечения собственно анализа и последующего контроля данных. Делается это в разделе "Индексирование данных" консоли администратора. В нем необходимо создать один или несколько индексов. Для каждого из них нужно указать папку хранения, интервал обновления, а также источники данных – вид трафика (сетевой трафик по протоколам или трафик, перехваченный агентами при работе с локальными устройствами). Логично создавать индексы для каждого из типов каналов перехвата, чтобы можно было задавать им собственные периоды обновления. Например, переиндексацию IM-трафика нужно проводить максимально часто, а со многими другими каналами это не так критично.

 

Рисунок 14. Создание индекса в консоли администратора SecureTower 

Обзор Falcongaze SecureTower

 

После создания индекса в его свойствах с помощью расширенного планировщика задач, можно настроить периодичность обновления индекса, задать параметры полной его очистки и обновления, а также проводить плановую дефрагментацию имеющихся данных. Это позволит избавиться от присутствия в базе устаревших или несуществующих документов, и, как следствие, увеличить надежность контроля и скорость работы. Для каждого из процессов имеется свое расписание с более детальными настройками: периодичность, время выполнения, определение конкретных дней недели и т.д.

 

Рисунок 15. Свойства индекса в Falcongaze SecureTower 

Обзор Falcongaze SecureTower

 

Рисунок 16. Свойства расписания в Falcongaze SecureTower 

Обзор Falcongaze SecureTower

 

Настройка политик безопасности в FalcongazeSecureTower

Работа с политиками безопасности осуществляется с помощью пользовательской консоли, после подключения к нужному серверу. На главной странице консоли нужно выбрать один из трех ее основных компонентов. Это поиск информации (речь идет о поиске данных среди перехваченного трафика с использованием настроенного в консоли администратора индекса), мониторинг активности пользователей (просмотр сетевой активности за любой период и статистики по ней, перехваченных данных и взаимосвязей пользователей между собой и с внешними абонентами) и управление центром безопасности. Первые две используются для регулярной работы офицеров безопасности. Нас же будет интересовать последняя. Именно она используется для настройки политик безопасности.

 

Рисунок 17. Главное окно консоли службы безопасности Falcongaze SecureTower 

Обзор Falcongaze SecureTower

 

После инсталляции Falcongaze SecureTower в системе есть ряд предустановленных правил безопасности, с помощью которых можно находить сотрудников, ищущих новую работу (по заполнению ими резюме в Интернете), попытки передачи зарплатных ведомостей, различных отчетов, данных кредитных карт и ИНН, посещения социальных сетей и т.п. Офицер безопасности может создавать любое количество новых правил и объединять их для удобства в группы, а также редактировать уже существующие. Стоит отметить, что предустановленные правила не являются универсальным исчерпывающим комплектом правил, позволяющим защитить любую компанию от внутренних угроз. Они скорее служат примером и базой для создания своих политик, учитывающих специфику работы и особенности сферы деятельности.

 

Рисунок 18. Предустановленные правила Falcongaze SecureTower 

Обзор Falcongaze SecureTower

 

В Falcongaze SecureTower существует три типа правил: обычные, статистические и цифровые отпечатки. В первом используются технологии контентного и атрибутивного анализа. При их создании офицер безопасности должен задать один или несколько блоков, объединенных логическими операторами "И" или "ИЛИ". Каждый из этих блоков, в свою очередь, тоже может состоять из одного или нескольких условий. Это позволяет выстраивать сложные логические выражения для создания составных правил, позволяющих максимально сократить количество ложных срабатываний.

Условия при создании правил безопасности могут быть разными. Всего в системе реализовано 15 их видов: текст с учетом морфологии (наличие определенных слов или выражений), область поиска (почта, мессенджеры, файлы), пользователи, IP-адреса, сетевые порты, день недели и многие другие.

 

Рисунок 19. Свойства обычного правила в Falcongaze SecureTower 

Обзор Falcongaze SecureTower

 

Особо стоит упомянуть регулярные выражения – это отдельный класс правил для поиска в информационном потоке типовых данных. Задав такое условие, можно контролировать пересылку номеров кредитных карт, паспортов, банковских счетов и многое другое. Помимо предустановленных регулярных выражений с различными типами данных пользователь может расширить этот список своими индивидуальными условиями.

 

Рисунок 20. Регулярные выражения в Falcongaze SecureTower 

Обзор Falcongaze SecureTower

 

Следующий вид правил работает на основе статистической информации. С их помощью можно детектировать массовые отправки электронной почты или сообщений через IM-клиенты за заданный период времени, большое количество посещений сайтов, превышение установленного лимита на размер и количество при загрузке файлов и т.д.

 

Рисунок 21. Свойства статистического правила в Falcongaze SecureTower 

Обзор Falcongaze SecureTower

 

Третий тип правил обеспечивает поиск по цифровым отпечаткам. Для этого предварительно нужно настроить процедуру создания этих самых отпечатков в консоли администратора (можно указать папки, отдельные файлы, записи из базы данных, связки определенных полей из баз данных или CSV-файлы и включить автоматическое обновление отпечатков). При создании правила нужно выбрать банк с отпечатками и указать возможную степень совпадения с эталоном.

 

Рисунок 22. Свойства правила поиска по цифровым отпечаткам в Falcongaze SecureTower 

Обзор Falcongaze SecureTower

 

Дополнительно в правилах любого типа можно указать необходимость отправки мгновенных уведомлений по электронной почте. Это нужно в тех случаях, когда службе безопасности необходима оперативная реакция на нарушение политик. Настройка уведомлений осуществляется в окне свойств правила на вкладке "Подписчики на уведомления".

 

Рисунок 23. Вкладка "Подписчики на уведомления" окна свойств правила в Falcongaze SecureTower 

Обзор Falcongaze SecureTower

 

Выводы

В заключение обзора DLP-системы SecureTower от компании Falcongaze можно отметить внедрения Falcongaze SecureTower в информационную систему предприятия. Оно не требует изменения архитектуры сети или покупки дополнительного дорогостоящего оборудования, что обеспечивает быстрое развертывание решения. По окончанию установки система сразу начнет функционировать в полном объёме. Единственно, что необходимо будет выполнить – привести ее правила в соответствие с политиками безопасности, создав новые в дополнение к уже имеющимся. Кроме того, это легко масштабируемый продукт. При необходимости его мощность можно легко наращивать путем внедрения в сеть новых точек перехвата и обработки трафика.

Отдельного внимания заслуживают функциональные особенности Falcongaze SecureTower. Во-первых, в нем есть все необходимое для офицера безопасности, включая интерактивные графические отчеты и схемы. Во-вторых, в данном DLP-решении присутствуют аналитические инструменты, позволяющие обнаруживать не только одиночных инсайдеров, но и их "организованные группы". Среди них особое место занимает визуализация связей с помощью графа-анализатора, благодаря которой можно быстро выявить круг общения каждого сотрудника компании и проследить связи, в которых информация передается через посредников.

Также можно сказать о большом перечне контролируемых сетевых каналов потенциальной утечки информации, в который входит не только HTTP-, FTP- и почтовый трафик, но и протоколы, использующие шифрование (например, SSL, HTTPs, FTPs, и почты), корпоративные почтовые сервера, а также все популярные в нашей стране IM-клиенты (включая шифрованные) и Skype. Причем у последнего записываются не только текстовые сообщения, но и голосовые переговоры.

Ну и, наконец, еще одна особенность - интерфейс Falcongaze SecureTower и удобство в процессе использования. Большинство подобных продуктов крайне мудрены в этом плане (по всей видимости, они рассчитаны на профессиональных системных администраторов) или имеют огромное количество консолей управления со своими особенностями. Интерфейс же данной системы прост и удобен. В своей работе безо всякой подготовки Falcongaze SecureTower смогут использовать не только специалисты по информационной безопасности, но и управляющий персонал. Гибкая система разграничений прав доступа позволит настроить доступ к функционалу системы с учетом любой структурной и организационной иерархии.

Одним из неявных недостатков является отсутствие возможности блокировки трафика, несоответствующего заданным политикам безопасности. Вместо этого Falcongaze SecureTower предоставляет широкий набор инструментария для своевременной идентификации потенциального злоумышленника и пресечения возникновения инцидента на стадии его зарождения, что является вполне достаточной компенсацией. К тому же, на практике, режим блокировки крайне редко используется заказчиками, так как это предполагает включение продукта «в разрыв» на пути трафика. В этом случае возникает дополнительным риск непрерывности бизнеса в случае непредвиденного отказа DLP-системы.

Еще одним недостатком продукта является количество поддерживаемых почтовых серверов. На данный момент он всего один - Microsoft Exchange Server. Но, по информации разработчика, на финальной стадии реализации находится разработка поддержки самых популярных почтовых серверов, в том числе Kerio, Lotus Notes и других.

Также можно упомянуть и о модуле контроля внешних устройств, который не является собственной разработкой компании, что условно можно назвать недостатком. В ответ на вопрос об отсутствии модуля распознавания текста в графических файлах, специалисты компании Falcongaze уверили нас, что данный функционал будет анонсирован в ближайшее время. Еще можно отметить, что система работает только под операционными системами семейства Windows.

Помимо этого, в продукте есть несколько небольших недочетов, исправление которых могло бы упростить управление системой. В качестве примера такого недостатка можно отметить отсутствие словарей, использование которых несколько расширяет функционал для создания контентных правил.

Реестр сертифицированных продуктов »

Записаться на демонстрацию

Нажимая "Запросить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить пробную версию

Нажимая "Получить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить цены

Нажимая "Отправить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Задать вопрос

Нажимая "Задать", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.