Обзор GTB Enterprise-Class DLP Suite, обзор DLP-системы от GTB Technologies

Обзор GTB Enterprise-Class DLP Suite



В обзоре рассматривается GTB Enterprise-Class DLP Suite, комплексная DLP-система от компании GTB Technologies. Эта компания вышла на российский рынок в 2012 году, но уже имеет несколько успешных внедрений. GTB Technologies применила в своём продукте ряд интересных решений и инноваций, благодаря которым GTB Enterprise-Class DLP Suite показывает хорошие результаты работы и зарабатывает положительные оценки у заказчиков и интеграторов.


Сертификат AM Test Lab

Номер сертификата: 126

Дата выдачи: 03.12.2013

Срок действия: 03.12.2018

Реестр сертифицированных продуктов »

1. Введение

2. Архитектура GTB Enterprise-Class DLP Suite

3. Системные требования GTB Enterprise-Class DLP Suite

4. Функциональные возможности GTB Enterprise-Class DLP Suite

4.1. Функциональные возможности системы GTB Inspector

4.2. Функциональные возможности системы GTB IRM (Information Rights Management)

4.3. Функциональные возможности системы GTB Endpoint Protector

4.4. Другие функциональные возможности

5. Установка GTB Enterprise-Class DLP Suite

5.1. Установка GTB Inspector

5.2. Установка GTB Central Console

5.3. Установка других компонентов

6. Работа с GTB Enterprise-Class DLP Suite на примере GTB Inspector и GTB Central Console

6.1. GTB Inspector

6.2. GTB Central Console

7. Выводы

 

 

1. Введение

Борьба за структурирование доступа к всегда данным должна идти комплексными методами. Хорошим подспорьем в решении данной проблемы являются DLP-системы. Именно благодаря им можно решить проблему отслеживания движения информации в инфраструктуре, проконтролировать использование съемных устройств в сети, собрать статистическую информацию и проанализировать ситуацию, которая складывается в инфраструктуре компании.

Также эти системы помогают в ретроспективном анализе инцидентов, сохраняя в централизованном архивном хранилище все случаи нарушения политик информационной безопасности.

Компания GTB Technologies достаточно давно вышла на рынок DLP-систем, активно развивая свои продукты и учитывая растущие требования к защите информации. Одновременно с этим стараясь не усложнять их, обеспечивая комфорт для интеграторов и заказчиков.

 

2. Архитектура DLP системы от GTB Technologies

GTB Enterprise-Class DLP Suite функционально состоит из нескольких систем:

  • GTB Inspector;
  • GTB IRM (Information Rights Management);
  • GTB eDiscovery;
  • GTB Endpoint Protector;

По сообщению разработчиков в последней версии системы модули GTB eDiscovery и GTB Endpoint Protector объединены в рамках единого агента.

  • GTB Central Console.

Кроме этих систем в состав GTB Enterprise-Class DLP Suite входят вспомогательные компоненты:

  • GTB Security Manager;
  • Name Resolution Helper Logon Script (NRH).

Рассмотрим, что представляют собой эти системы, и какое их назначение.

Программно-аппаратная система мониторинга "Информации в движении" - GTB Inspector предназначена для перехвата и просмотра данных, которые пересылаются в сеть интернет по различным протоколам (HTTP, HTTPS, SMTP, FTP и др.).

В состав GTB Inspector также входят:

  • "GTB SSL Proxy" – прокси-сервер, который обеспечивает передачу данных и перехват сообщений в шифрованных протоколах;
  • "GTB Mail Transfer Agent" - почтовый сервер, который позволяет перехватывать и перенаправлять электронную почту, а так же добавлять информацию в
    MIME-заголовки письма.

GTB IRM (Information Rights Management). Эта система предназначена для организации доступа к конфиденциальной информации. Она представляет собой готовую виртуальную машину VMware с интегрированным решением Seclore IRM. GTB IRM полностью интегрируется с LDAP (Active Directory). Также возможна работа GTB IRM без интеграции с LDAP.

При работе вместе с GTB eDiscovery, GTB IRM позволяет разграничивать доступ к важной информации для различных пользователей, контролировать действия с файлами (просмотр, редактирование, сохранение, печать, отслеживание снимков экрана и т.д.). Предусмотрена возможность задания временных интервалов для доступа к файлам.

GTB eDiscovery – агентная система, предназначенная для контроля информации, хранящейся на жёстких дисках различных устройств в любой точке инфраструктуры. Поддерживаются файлы любых форматов, включая двоичные.

GTB Endpoint Protector позволяет контролировать информацию передаваемую с помощью сменных носителей. Поддерживается большое число типов устройств. GTB Endpoint Protector работает в окружении Active Directory.

GTB Central Console – консоль управления GTB eDiscovery и GTB IRM, настройки политик, средство анализа зарегистрированных событий и просмотра отчётности.

GTB Security Manager это программа, с помощью которой создаются цифровые отпечатки защищаемой информации и загружаются в базу данных GTB Inspector.

Name Resolution Helper Logon Script (NRH) требуется для правильной работы правил для групп пользователей Active Directory в GTB Inspector. На рисунке 1 показана принципиальная схема организации работы GTB Enterprise-Class DLP Suite.

 

Рисунок 1. Принципиальная схема работы GTB Enterprise-Class DLP Suite

Принципиальная схема работы GTB Enterprise-Class DLP Suite

 

3. Системные требования

GTB Inspector*

Аппаратные требованияПрограммные требования
  • CPU - Pentium IV 2 ГГц и выше
  • RAM – от 4 Гб
  • HDD – свободное место от 60 Гб
  • Одна сетевая карта
  • WinZip или другой архиватор, поддерживающий формат Zip

* - GTB Inspector поставляется вместе с аппаратной частью. Сервер Dell 710, с (подключаемым адаптером Silicom bypass card или без него) протестирован специалистами компании на совместимость с программным обеспечением. Гарантирована стабильная работа программного обеспечения на этом оборудовании.

 

Агент GTB eDiscovery

Аппаратные требованияПрограммные требования
  • CPU - Pentium III 600 МГц и выше
  • RAM – от 512 Мб
  • HDD – свободное место от 150 Мб
  • Windows XP SP2 или выше, Windows Vista SP1 или выше, Windows 7, Windows Server 2003, Windows Storage  Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Storage Server 2008;
  • Windows Installer 3.1или выше

 

GTB Central Console

Аппаратные требованияПрограммные требования
  • CPU - Pentium IV 2 ГГц и выше
  • RAM – от 2 Гб
  • HDD – свободное место от 20 Гб
  • Любая виртуальная ОС (VMware, HiperV, Azure, Amazon, и др.)

 

GTB Security Manager

Аппаратные требованияПрограммные требования
  • CPU - Pentium III 600 МГц и выше
  • RAM – от 512 Мб
  • HDD – свободное место от 100 Мб
  • Windows 2000 Pro, Windows 2000 Server, Windows 2000 Advanced Server,  Windows 2003 Server, Windows 2003 Advanced Server, Windows XP, Windows Vista, Windows 7.
  • Microsoft .NET Framework 2.0

 

Функциональные возможности GTB Enterprise-Class DLP Suite

GTB Enterprise-Class DLP Suite позволяет осуществлять перехват и анализ различных видов сетевого трафика, осуществлять контроль над доступом к данным на различных устройствах сети. А также контролировать доступ к информации в файловых сетевых хранилищах и на съёмных устройствах.

Все эти возможности обеспечиваются системами, которые входят в состав GTB Enterprise-Class DLP Suite.

Определение того какие данные могут считать конфиденциальными возможно такими методами:

  • Создание цифровых отпечатков с защищаемых данных.
  • Создания словарей и шаблонов, которые содержат образцы данных, которые считаются конфиденциальными.
  • Создание выборки с баз данных и таблиц с помощью модуля Microsoft ODBC.

Все эти данные заносятся в единую базу данных, которая хранится в системе GTB Inspector, кроме шаблонов и словарей. Шаблоны и словари создаются для каждой системы в отдельности. Для облегчения интеграции этих данных предусмотрена возможность их экспорта в TXT-файл.

 

Функциональные возможности системы GTB Inspector

Система мониторинга "Информации в движении" - GTB Inspector позволяет решать следующие задачи:

  • Предотвращение утечки конфиденциальной информации;
  • Блокировка посещения нежелательных ресурсов;
  • Блокировка систем обмена мгновенными сообщениями;
  • Контроль электронной почты, ошибочной отправки электронной почты;
  • Накопление архива инцидентов для ретроспективного анализа;
  • Накопление статистических данных;
  • Формирование отчётности о событиях;
  • Уведомление об инцидентах.

GTB Inspector позволяет осуществлять перехват и анализ сетевого трафика по следующим протоколам:

  • HTTP/ HTTPS
  • FTP
  • SMTP+ESMTP
  • IMAP
  • POP3 (а также протоколы с использованием шифрования: POP3S, HTTPS/SMTPS)
  • SSH
  • Протоколы сетевой печати (LPD, IPP)
  • SSL
  • RDP
  • VNC
  • NNTP
  • Поддержка веб-почты
    • Yahoo Mail
    • GMail
    • MS Hotmail
    • AOL Webmail
    • Netscape Mail
    • Системы обмена сообщениями
      • ICQ
      • AIM
      • Yahoo Messenger
      • MSN Messenger
      • Google  Talk  (без поддержки TLS)
      • IRC
      • Jabber (XMPP, без поддержки TLS)
      • Р2Р-протокол
      • Остальные протоколы разбираются в разрезе TCP.

Также, GTB Inspector позволяет определять и отслеживать защищённое содержимое, в т.ч.:

  • MS Office (файлы Word, Excel и PowerPoint защищённые паролем);
  • ZIP;
  • PDF;
  • PGP;
  • S/MIME;
  • RAR.

Глубина вложенных архивов может достигать 10.

Относительно перехваченных данных могут применяться следующие действия:

  • Регистрация нарушения политики безопасности с блокировкой доставки или же разрешением доставки;
  • Уведомление офицера безопасности;
  • Карантин электронной почты до принятия решения;
  • Перенаправление электронной почты на узел шифрования;
  • Пропуск содержимого без досмотра.

В случае использования GTB Inspector в высоконагруженных сетях предусмотрена возможность балансировки сетевой нагрузки сети с распределением нагрузки между несколькими установленными модулями GTB Inspector с объединением их в кластер.

Нагрузка на одно звено кластера может составлять более 100 Мбит/с.

 

Функциональные возможности системы GTB eDiscovery и GTB IRM (Information Rights Management)

Контроль информации находящейся на рабочих станциях и в сети, осуществляется с помощью системы GTB eDiscovery, который может работать в связке с системой GTB IRM (Information Rights Management) и GTB Endpoint Protector. Это позволяет осуществлять полный контроль над  доступом к важной информации путём применения правил распределения доступа к информации на основе сконфигурированных политик.

GTB eDiscovery поддерживает работу со всеми форматами файлов (текстовые и двоичные). Отличительной особенностью этой системы является возможность просмотра временных файлов на наличие в них защищаемой информации.

Также, в cвязке GTB eDiscovery c GTB IRM включена возможность шифрования данных согласно заданных условий. Что может быть очень полезно, к примеру, в случае утери ноутбука или другого переносного устройства.

Агент GTB eDiscovery может работать как в автоматическом, так и ручном режиме.

В случае обнаружения неправомерных действий пользователя, агент посылает уведомление сотруднику службы безопасности. При работе в паре с GTB IRM, агент может применять заданные в GTB IRM политики, ограничивая действия пользователя с данными:

  • Политики могут быть использованы как в рамках локальной сети, так и за ее пределами;
  • Разрешение просмотра файлов только определенным пользователям;
  • Разрешение на доступ к файлам только в определенное время;
  • Контроль буфера обмена;
  • Запрет записи в файл;
  • Запрет применения PrintScreen;
  • Запрет печати файла.

Полная интеграция с Active Directory (или другой LDAP-базой пользователей) обеспечивает возможность контроля и разграничения доступа к данным на уровне пользователей и домена.

Поддерживается возможность создания многоуровневых политик.

Одной из самых важных возможностей является поддержка контроля доступа к данным по идентификации аппаратной части устройства (MAC-адрес), сети, IP-адресу или диапазону IP-адресов. Таким образом, GTB Enterprise-Class DLP Suite позволяет контролировать доступ к данным, расположенным в облачных средах. К примеру, можно запретить доступ к корпоративной почте, если устройство отключено от домена или находится в другой сети/подсети.

GTB IRM также позволяет осуществлять контроль за использованием информации на различных устройствах. Пользователи, которые принесли свои устройства и подключились к корпоративной сети, могут просматривать файлы с помощью веб-браузера (webconnect), но не могут сохранить их к себе на устройства. Это избавляет администраторов сети от постоянного контроля над установкой агентов на мобильные устройства.

 

Функциональные возможности системы GTB Endpoint Protector

GTB Endpoint Protector – это мощная система предотвращения утечки данных через:

  • Съёмные устройства;
  • MP3-плееры (включая iPod);
  • CD/DVD диски;
  • Карты SD;
  • Floppy-диски;
  • FireWire;
  • Wi-Fi;
  • Bluetooth;
  • Другие устройства и порты ввода-вывода.

Одной из ключевых особенностей является возможность контроля IM-приложений и облачных сервисов, таких как:

  • Skype;
  • QQ;
  • GTalk;
  • DropBox, Evernote, Salesforce, Skydrive,Google Drive.

GTB Endpoint Protector полностью интегрируется с Active Directory, что позволяет осуществлять контроль данных для групп пользователей и отдельных пользователей, компьютеров и доменов.

Также предусмотрена возможность работы в режиме OnLine/OffLine (когда устройство вне домена).

В случае обнаружения неправомерных действий пользователя, GTB Endpoint Protector может:

  • Заблокировать передачу данных;
  • Заблокировать считывание с устройства;
  • Заблокировать запуск приложений с устройства;
  • Зарегистрировать нарушение с блокировкой передачи или без;
  • Зашифровать данные на устройстве;
  • Создать теневую копию данных;
  • Уведомить пользователя о совершении неправомерного действия;
  • Уведомить работника службы безопасности о нарушении.

 

Другие функциональные возможности

Анализ полученных данных.

Все полученные данные тщательно анализируются для принятия решения на основе заданных политик.

Анализ информации идёт по различным атрибутам, применяются технологии контентного анализа и лингвистического анализа, сравнение с эталонными образцами.

Создание цифровых отпечатков, шаблонов и словарей защищаемой информации

Для задания критериев конфиденциальной информации и загрузки их в общую базу данных GTB Inspector используется программа GTB Security Manager. Она позволяет создавать цифровые отпечатки с любого места сети (папки, сетевые папки, отдельные файлы).

Интеграция со сторонними решениями.

Поддерживается интеграция со следующими системами:

  • LDAP;
  • Microsoft Active Directory;
  • Прокси-серверами по протоколу ICAP;
  • SIEM;
  • Поддержка шлюзов шифрования электронной почты Voltage, Zix, Secureworks, Secure Computing, PostX, Tumbleweed, Symantec, Frontbridge, Exchange, Postini Perimeter
  • Системами облачного хранения данных DropBox, Evernote, Salesforce, Skydrive, Google Drive

Система построения отчётности

Для удобства, наглядности и обеспечения комфорта работникам службы безопасности, в GTB Enterprise-Class DLP Suite включена мощная и удобная система формирования отчётов, благодаря которой всегда можно отобразить наглядную картину действий сотрудников при работе с данными.

Ведётся накопление инцидентов в архив для ретроспективного анализа событий, накопление статистических данных с возможностью.

 

Установка GTB Enterprise-Class DLP Suite

Развёртывание GTB Enterprise-Class DLP Suite происходит в несколько этапов, поскольку вся система состоит из нескольких компонентов. Начнём с системы GTB Inspector.

 

Установка GTB Inspector

GTB Inspector базируется на аппаратном обеспечении сервера Dell 710. Но возможна отдельная установка этой системы на другое аппаратное обеспечение, в том числе и на виртуальную машину VmWare.

В зависимости от требований заказчика и инфраструктуры, для GTB Inspector допускаются  3 режима работы. Схема установки "в разрыв сети" представлена на Рисунке 2.

 

Рисунок 2. Установка GTB Inspector "в разрыв" сети

Установка GTB Inspector "в разрыв" сети 

 

В этом варианте установке необходимо обязательно использовать адаптер Silicom bypass card.

При работе системы в данном варианте установки обеспечивается полный контроль информации передаваемой в сеть Интернет и доступны опции блокирования.

Для обеспечения контроля SSL-трафика, Inspector может использовать встроенный модуль SSL-Proxy. Схема установки "вне сети" представлена на Рисунке 3.

 

 

Рисунок 3. Установка GTB Inspector "вне сети"

Установка GTB Inspector "вне сети" 

 

В данном варианте установки, GTB Inspector подключается к SPAN-порту коммутатора. Использование адаптера Silicom bypass card необязательно. При этом обеспечивается полный контроль информации передаваемой в сеть Интернет, но опции блокирования доступны только для корпоративной почты. Схема установки использованием прокси-сервера представлена на Рисунке 4.

 

Рисунок 4. Установка GTB Inspector с использованием  прокси-сервера

Установка GTB Inspector с использованием  прокси-сервера 

 

При этом варианте установки также необязательно использование адаптера Silicom bypass card. Доступна возможность использовать встроенный в GTB Inspector прокси-сервер, а также использование любого другого прокси-сервера, который поддерживает работу по протоколу ICAP. Обеспечивается полный контроль информации передаваемой в сеть Интернет, при этом доступный все опции блокировки трафика, включая SSL трафик.

В качестве примера покажем ход установки системы GTB Inspector на стороннее аппаратное обеспечение.

Установка системы GTB Inspector выполняется с помощью специальной программы-инсталлятора kickstart, которая запускается при загрузке с дистрибутивного диска. Сам дистрибутив GTB Inspector основан на базе ОС CentOS 6.4

 

Рисунок 5. Внешний вид программы-инсталлятора kickstart. Начало установки GTB Inspector

Внешний вид программы-инсталлятора kickstart. Начало установки GTB Inspector 

 

В меню доступны несколько вариантов загрузки.

Ключ запуска

Действие

Gtbks

Запуск и автоматическая установка GTB Inspector

Install or upgrade an existing system

Установка или обновление ОС CentOS 6.4

Install system with basic video driver

Установка ОС CentOS 6.4 с использованием базового стандартного видеодрайвера (в случае проблем с использованием драйвера под определённую видеоподсистему)

Rescue installed system

Режим аварийного восстановления системы

Boot from local drive

Загрузка с установленного жёсткого диска

Memory test

Запуск программы тестирования ОЗУ

 

Выбираем вариант Gtbks. Вся установка пройдёт полностью в автоматическом режиме без необходимости вмешательства пользователя. В процессе установки система будет несколько раз перезагружена.

 

Рисунок 6. Общий ход установки  GTB Inspector

Общий ход установки  GTB Inspector 

 

По окончанию установки будет показано соответствующее предупреждение и предложение перезапустить систему (рисунок 7).

 

Рисунок 7. Окончание установки GTB Inspector

Окончание установки GTB Inspector 

 

После перезагрузки необходимо выполнить первоначальную настройку сетевых интерфейсов. Для этого необходимо зайти в систему под учётной записью wizard. После чего запустится скрипт настройки сетевых интерфейсов (рисунок 8).

 

 

Рисунок 8. Настройка сетевых интерфейсов GTB Inspector

Настройка сетевых интерфейсов GTB Inspector 

 

Необходимо указать IP-адрес, маску сети и шлюз. На этом первоначальную настройку можно считать законченной. В дальнейшем, вся работа и настройка системы GTB Inspector будет осуществляться через веб-интерфейс.

 

Установка GTB Central Console

Как и GTB Inspector, дистрибутив GTB Central Console собран на базе ОС CentOS 6.4. Установка GTB Central Console проходит полностью аналогично установке GTB Inspector, с помощью программы-инсталлятора kickstart.

 

 

Рисунок 9. Внешний вид программы-инсталлятора kickstart. Начало установки GTB Central Console

Внешний вид программы-инсталлятора kickstart. Начало установки GTB Central Console 


Ключ запускаДействие
GtbссksЗапуск и автоматическая установка GTB Central Console
Install or upgrade an existing systemУстановка или обновление ОС CentOS 6.4
Install system with basic video driverУстановка ОС CentOS 6.4 с использованием базового стандартного видеодрайвера (в случае проблем с использованием драйвера под определённую видеоподсистему)
Rescue installed systemРежим аварийного восстановления системы
Boot from local driveЗагрузка с установленного жёсткого диска
Memory testЗапуск программы тестирования ОЗУ

 

Рисунок 10. Общий ход установки  GTB Central Console

Общий ход установки  GTB Central Console 

 

После окончания установки, вся работа и настройка системы GTB Central Console  будет осуществляться через веб-интерфейс.

 

Установка других компонентов

Остался ещё ряд компонентов о установке которых нужно упомянуть.

Система GTB IRM (Information Rights Management) поставляется в виде готового образа виртуальной машины VmWare. Процесс установки этой системы происходит очень быстро и подробно описан в технической документации.

Агенты GTB eDiscovery могут устанавливаться как отдельно, так и через групповую политику Microsoft Active Directory.

Установка GTB Security Manager также очень проста. В самом начале установки может быть показано предупреждение о необходимости установки дополнительных компонентов, для работы программы (рисунок 11).

 

Рисунок 11. Запрос установки дополнительных компонентов для работы GTB Security Manager

Запрос установки дополнительных компонентов для работы GTB Security Manager 

 

После установки дополнительных компонентов, начнётся установка GTB Security Manager. Сама установка тривиальна и заключается в принятии EULA и указании конечного месторасположения установленной программы. После окончания установки GTB Security Manager готов к работе.

 

Рисунок 12. Главное окно GTB Security Manager

Главное окно GTB Security Manager

 

Работа с GTB Enterprise-Class DLP Suite на примере GTB Inspector и GTB Central Console

Сразу сделаем оговорку. Показать полностью работу всей системы и рассказать детально о каждом разделе мы не в состоянии ввиду сложности и объёмности продукта в целом. Поэтому мы ограничимся кратким описанием интерфейса и некоторых параметров. Вся работа с GTB Inspector и GTB Central Console ведётся через веб-консоль.

 

Рисунок 13. Форма входа веб-консоли GTB Inspector и GTB Central Console

Форма входа веб-консоли GTB Inspector и GTB Central Console  

 

Первой рассмотрим веб-консоль GTB Inspector.

 

GTB Inspector

Первая закладка, которая отображается после аутентификации в GTB Inspector – Events (события). Здесь можно посмотреть статистику по всем произошедшим инцидентам (рисунок 14).

 

Рисунок 14. Детальная статистика по инцидентам в GTB Inspector

Детальная статистика по инцидентам в GTB Inspector  

 

Доступны различные варианты настройки фильтров для удобного просмотра статистики. Также здесь предоставлена возможность предоставления статистических данных в виде графиков (рисунок 15).

 

Рисунок 15. Графическое отображение инцидентов в GTB Inspector

Графическое отображение инцидентов в GTB Inspector 

 

На данном графике показано соотношение зарегистрированных инцидентов по протоколам. Доступны и другие параметры сортировки и отображения графической информации. В том числе возможно отображение графиков в виде круговой диаграммы, столбцов и таблицы.

Следующая закладка – Rule Editor (редактор правил). Здесь можно создавать и управлять правилами перехвата и анализа трафика (рисунок 16).

 

Рисунок 16. Закладка управления правилами работы GTB Inspector

Закладка управления правилами работы GTB Inspector  

 

Сначала нужно указать объекты, к которым будут применены правила. В качестве объектов нужно указать протокол, который будет анализироваться.

Далее необходимо создать правило, которое будет применяться к тому или иному объекту.

Третья закладка – Quarantine (карантин). Здесь отображаются почтовые сообщения, которые были перехвачены и, согласно заданным правилам, были отправлены на карантин до принятия по ним решения.

Закладка Configuration (конфигурация). В этой закладке собраны все меню для управления настройками GTB Inspector (Рисунок 17).

 

Рисунок 17. Закладка Configuration веб-консоли GTB Inspector

Закладка Configuration веб-консоли GTB Inspector  

 

Вкратце расскажем о предназначении каждого меню на этой закладке. 

Central Console IP – в этом меню мы указываем IP-адрес GTB Central Console, для соединения с этим компонентом GTB Enterprise-Class DLP Suite. Network - это меню настройки сетевых интерфейсов для корректной работы GTB Inspector (рисунок 18).

 

Рисунок 18. Настройка сетевых интерфейсов и параметров для GTB Inspector

Настройка сетевых интерфейсов и параметров для GTB Inspector  

 

Alerts (уведомления) -  настройка параметров получения уведомлений о инцидентах, обнаруженных системой (рисунок 19).

 

Рисунок 19. Меню настройки параметров отправки и получателей уведомлений о инцидентах GTB Inspector

Меню настройки параметров отправки и получателей уведомлений о инцидентах GTB Inspector  

 

В меню Notifications доступны разнообразные параметры настройки формата сообщений об инцидентах (рисунок 20).

 

Рисунок 20. Меню настройки формата сообщений об инцидентах GTB Inspector

Меню настройки формата сообщений об инцидентах GTB Inspector  

 

Всё это необходимо для того, чтобы предоставить уведомления персоналу в удобном виде, для облегчения анализа поступившей информации.

Следующее меню – Inspection Settings. В нём указываются глобальные настройки анализа перехваченных сообщений или файлов (рисунок 21).

 

Рисунок 21. Глобальные настройки анализа перехваченных сообщений или файлов в GTB Inspector

Глобальные настройки анализа перехваченных сообщений или файлов в GTB Inspector  

 

Следующие три пункта меня содержат настройки анализа перехваченных файлов, анализа перехваченного содержимого по базе данных и по шаблонам, сформированных с помощью GTB Security Manager (рисунки 22, 23, 24).

 

Рисунок 22. Настройка анализа перехваченных вложений в GTB Inspector

Настройка анализа перехваченных вложений в GTB Inspector  


Рисунок 23. Настройка анализа перехваченных данных по базе данных в GTB Inspector

Настройка анализа перехваченных данных по базе данных в GTB Inspector  


Рисунок 24. Настройка анализа перехваченных данных по шаблонам в GTB Inspector

Настройка анализа перехваченных данных по шаблонам в GTB Inspector  

 

Поскольку GTB Inspector поддерживает кластеризацию, то в этом режиме работы необходимо распределить сетевую нагрузку между плечами кластера. Эти настройки можно произвести в меню Load Balancing (рисунок 25).

 

Рисунок 25. Настройка распределения сетевой нагрузки в GTB Inspector

Настройка распределения сетевой нагрузки в GTB Inspector  

 

Name resolution & LDAP. В этом меню содержатся настройки интеграции с LDAP и дополнительного модуля Name Resolution Helper, который необходим для корректной работы с Microsoft Active Directory (рисунок 26).

 

Рисунок 26. Настройки подключения GTB Inspector к LDAP-серверу

Настройки подключения GTB Inspector к LDAP-серверу  

 

В меню SSL/TLS можно включить или отключить поддержку перехвата зашифрованного трафика.

Quarantine & Encrypt - меню настройки параметров работы GTB Inspector для работы с перехваченными e-mail (рисунок 27).

 

Рисунок 27. Настройка GTB Inspector для работы с перехваченными e-mail

Настройка GTB Inspector для работы с перехваченными e-mail  

 

Log & Audit - в этом меню настраивается ведение системного журнала ОС под управлением которой работает устройство с GTB Inspector.

Mail Transfer Agent -  в этом меню содержатся настройки GTB Inspector, необходимые для настройки его в качестве почтового сервера. Настройка GTB Inspector в качестве почтового сервера необходима для перехвата и анализа почтовых сообщений (рисунок 28).

 

Рисунок 28. Настройки почтового сервера GTB Inspector

Настройки почтового сервера GTB Inspector  

 

Меню ICAP позволяет включить встроенный ICAP-сервер и указать его порт, а меню SIEM содержит настройки для интеграции GTB Inspector со сторонними SIEM-решениями.

Меню GTB SSL Proxy позволяет настраивать встроенный SSL прокси-сервер, который необходим для перехвата и анализа зашифрованного трафика (рисунок 29).

 

Рисунок 29. Настройка встроенного в GTB Inspector SSL прокси-сервера

Настройка встроенного в GTB Inspector SSL прокси-сервера  

 

В закладке Logs мы можем просмотреть файл system.log, системный журнал ОС, под управлением которой работает устройство с GTB Inspector (рисунок 30).

 

Рисунок 30. Просмотр системного журнала устройства с GTB Inspector

Просмотр системного журнала устройства с GTB Inspector  

 

В закладке Statictics отображаются параметры аппаратного обеспечения и ОС устройства с GTB Inspector (рисунок 31).

 

Рисунок 31. Отображение программных и аппаратных параметров устройства с GTB Inspector

Отображение программных и аппаратных параметров устройства с GTB Inspector  

 

Закладка SSL-keys позволяет управлять SSL сертификатами, необходимыми для корректного анализа и расшифровки зашифрованного трафика.

Закладка Administration позволяет обновлять ПО устройства с GTB Inspector, указать действительный лицензионный номер GTB Inspector и управлять некоторыми дополнительными функциями GTB Inspector (рисунок 32).

 

Рисунок 32. Закладка Administration устройства с GTB Inspector

Закладка Administration устройства с GTB Inspector  

 

На этом мы заканчиваем краткий обзор консоли GTB Inspector и переходим к рассмотрению консоли GTB Central Console.

 

GTB Central Console

Рассмотрим работу с ещё одним компонентом - GTB Central Console. Он входит в состав GTB Enterprise-Class DLP Suite и позволяет управлять работой модулей GTB eDiscovery, GTB Endpoint и GTB IRM, настраивать политики, анализировать зарегистрированные события и просматривать отчётность. В последней версии Endpoint и eDiscovery представляют собой единый агент.

Как и при работе с GTB Inspector, для управления GTB Central Console тоже используется веб-консоль. Проведём краткий экскурс по ней.

После аутентификации первой отображается страница с суммарной сводкой по событиям (Dashboard) зарегистрированным в системе (рисунок 33).

 

Рисунок 33. Dashboard. Суммарная статистика событий инцидентов GTB Central Console

Dashboard. Суммарная статистика событий инцидентов GTB Central Console  

 

Для отображения дополнительных данных используются виджеты. Для облегчения работы и анализа предоставленных данных Dashboard можно настроить "под себя", отключив ненужные виджеты или добавив новые, более необходимые.

Для удобства навигации между виджетами, слева расположено плавающее меню, позволяющее быстро переключиться на нужный виджет.

На закладках Сеть, Endpoint и eDiscovery отображаются инциденты зарегистрированные в сети, агентами eDiscovery и Endpoint. Поддерживается динамическое графическое представление статистики инцидентов, фильтрация по различным критериям (для облегчения анализа) и выгрузка статистических данных в файл (рисунок 34). Поскольку у нас нет зарегистрированных инцидентов, то журналы пусты. Для всех трёх вышеперечисленных закладок представлен единый интерфейс.

 

Рисунок 34. Журнал GTB Central Console инцидентов произошедших в сети

Журнал GTB Central Console инцидентов произошедших в сети  

 

На рисунке 35 показана закладка Отчёты, в которой представлены графические отчёты всех произошедших событий, зарегистрированными в сети, агентами Endpoint и eDiscovery. Графики пусты, поскольку зарегистрированные события отсутствуют.

 

Рисунок 35. Закладка Отчёты в GTB Central Console

Закладка Отчёты в GTB Central Console  

 

В закладке Состояние сети отображается статус всех подключенных инспекторов GTB Inspector и агентов Endpoint (рисунок 36). Данная возможность позволяет оперативно отслеживать и контролировать состояние всей системы.

 

Рисунок 36. Мониторинг подключенных GTB Inspector к GTB Central Console

Мониторинг подключенных GTB Inspector к GTB Central Console  

 

В следующей закладке мы можем управлять учётными записями, которые используются для работы с GTB Central Console (рисунок 37).

 

Рисунок 37. Управление учётными записями GTB Central Console

Управление учётными записями GTB Central Console  

 

На закладке Журналы отображаются события переданные агентами eDiscovery, а также журнал аудита GTB Central Console (рисунок 38).

 

Рисунок 38. Журнал аудита устройства с GTB Central Console

Журнал аудита устройства с GTB Central Console  

 

Закладка Установки DLP включает в себя разделы, в которые включены меню, необходимые для настройки всей DLP системы, включая правила управления правами.

Первый раздел – Системные. В отличие от GTB Inspector, интерфейс GTB Central Console поддерживает несколько локализаций (рисунок 39).

 

Рисунок 39. Локализации доступные для интерфейса GTB Central Console

Локализации доступные для интерфейса GTB Central Console  

 

В меню Сеть настраиваются сетевые параметры GTB Central Console. В меню LDAP настраиваются параметры подключения к LDAP-серверам.

Параметры, которые необходимы для подключения к устройствам, на которых будут храниться теневые копии, расположены в меню Shadow Location.

В меню Emails настраиваются параметры отправки почтовых уведомлений об произошедших событиях. Меню Дата и время включает в себя настройки системных даты и времени устройства с GTB Central Console.

Самое важное меню это Политики безопасности (рисунок 40). Здесь отображаются предустановленные политики безопасности. А также предусмотрена возможность их редактирования и создания собственной политики.

 

Рисунок 40. Меню управления политиками безопасности в GTB Central Console

Меню управления политиками безопасности в GTB Central Console  

 

В разделе Инспекция находятся меню для управления параметрами поиска важной информации во вложениях, по цифровым отпечаткам, базам данных и шаблонам.

Раздел IRM (Information Rights Management) позволяет управлять политиками доступа, которые накладываются на файлы с конфиденциальной информацией. В разделе eDiscovery настраиваются параметры работы агентов eDiscovery (рисунок 41).

 

Рисунок 41. Настройка агентов eDiscovery, подключенных к GTB Central Console

Настройка агентов eDiscovery, подключенных к GTB Central Console  

 

Настройка контроля устройств осуществляется на закладке Endpoint & Device Control (рисунок 42).

 

Рисунок 42. Настройка Endpoint & Device Control, подключенных к GTB Central Console

Настройка Endpoint & Device Control, подключенных к GTB Central Console  

 

В разделе Управление политиками находятся меню для управления объектами для политик DLP, редактор политик и средство управления наборами политик.

 

Рисунок 43. Предустановленные объекты политик в GTB Central Console

Предустановленные объекты политик в GTB Central Console  

 

На закладке Обслуживание  предоставляется возможность создания и восстановления резервной копии.

А на закладке Помощь доступны ссылки на документацию по GTB Enterprise-Class DLP Suite, а также ссылка на скачивание агента GTB Endpoint.

На этом мы заканчиваем краткий обзор GTB Enterprise-Class DLP Suite. Рассмотреть весь в комплекс в полном объёме не представляется возможным ввиду его объёмности и сложности.

 

Выводы

В сегодняшнем обзоре мы рассмотрели современную многокомпонентную DLP-систему GTB Enterprise-Class DLP Suite. Это продукт корпоративного уровня, который обеспечивает комплексную защиту информации от утечек.

Достоинства

  • Возможность масштабирования системы, что позволяет создавать сложные конфигурации для работы в высоконагруженных инфраструктурах;
  • Интеграция с системами мониторинга и управления событиями информационной безопасности;
  • Наличие предустановленных шаблонов поиска конфиденциальных данных;
  • Большое количество поддерживаемых протоколов для анализа и перехвата;
  • Контроль облачных сервисов хранения данных;
  • Контроль веб-почты;
  • Простое и удобное развёртывание в инфраструктуре заказчика;
  • Возможность проверки сети на наличие несанкционированных копий конфиденциальных данных;
  • Возможность отслеживания не только текстовых документов, но и бинарных файлов (аудио- и видеофайлы, чертежи САПР и пр.);
  • Возможность отслеживания движения документов в инфраструктуре;
  • Улучшенные и дополненные технологии лингвистического и контентного анализа;
  • Контроль буфера обмена и временных файлов;
  • Хорошая сопроводительная документация;
  • Возможность шифрования данных на устройствах в зависимости от сложившихся условий;
  • Возможность перенаправления почтовых сообщений на узлы шифрования, что позволит обеспечить централизованно управляемое шифрование электронных сообщений при обмене с партнерами и клиентами;
  • Отслеживание ошибочного отправления почтовых сообщений, для сведения к минимуму рисков связанных с тем, что секретная информация попадёт к нежелательному получателю;
  • Возможность экспорта отчётности в формате CSV.

Недостатки

  • Отсутствие контроля поисковых запросов;
  • Отсутствие русскоязычной документации;
  • Неполная русская локализация веб-консолей;
  • Отсутствие распознавания голосового трафика.

Реестр сертифицированных продуктов »

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.