Сертификат AM Test Lab
Номер сертификата: 354
Дата выдачи: 06.10.2021
Срок действия: 06.10.2026
- Введение
- Новые функции и улучшения комплекса «Гарда Предприятие»
- Архитектура DLP-системы «Гарда Предприятие»
- Системные требования комплекса «Гарда Предприятие»
- Функциональные возможности DLP-системы «Гарда Предприятие»
- Работа с DLP-системой «Гарда Предприятие»
- 6.1. Обзор разделов веб-интерфейса
- 6.2. Настройка политик
- 6.2.1. Политики мониторинга
- 6.2.2. Политики блокировки
- 6.2.3. Политики сканирования
- 6.3. Расследование инцидентов и поиск данных
- 6.4. Контроль сотрудников
- 6.4.1. Карточки сотрудников
- 6.4.2. Графики активности
- 6.4.3. Просмотр связей сотрудников
- 6.4.4. Контроль рабочего времени
- 6.4.5. Экспорт отчётов по сотрудникам
- 6.5. Настройки системы
- 6.5.1. Установка и настройка агентов
- 6.5.2. Пользователи и роли
- 6.5.3. Подключение к LDAP
- 6.5.4. Оповещения
- 6.5.5. Экспорт данных в SIEM
- 6.5.6. Прочие настройки
- Выводы
Введение
Многочисленные исследования показывают, что наибольшую угрозу для предприятий представляют не внешние нарушители, а сотрудники. Их неправомерные действия, как осознанные, так и непреднамеренные, являются причиной большей части утечек баз данных, финансовой документации и другой информации составляющей коммерческую тайну.
Российский разработчик систем информационной безопасности «Гарда Технологии» (входит в «ИКС Холдинг») выпустил новую версию своей DLP-системы «Гарда Предприятие» — 5.0. Несколько лет назад мы публиковали обзор одной из прошлых версий решения (3.8), но с тех пор были существенно расширены его функциональные возможности и переработана архитектура.
«Гарда Предприятие» ― это аппаратно-программный комплекс, предназначенный для контроля различных каналов коммуникации внутри компании и анализа собираемой информации, а также для предотвращения утечек и для защиты конфиденциальных данных. Он включён в Единый реестр российских программ для электронных вычислительных машин и баз данных Минцифры России.
«Гарда Предприятие» ― первая DLP-система, основанная на принципе анализа больших данных. Система обеспечивает комплексный контроль каналов коммуникации и мощную аналитическую платформу для управления инцидентами.
Новые функции и улучшения комплекса «Гарда Предприятие»
Наиболее важные обновления комплекса «Гарда Предприятие» касаются расширения пула контролируемых форматов передачи данных.
Агенты рабочих мест теперь могут (после настройки соответствующей DLP-политики) блокировать передачу файлов на основе результатов контентного анализа, а именно — при обнаружении заданных ключевых фраз (слов или словосочетаний, а также их наборов, объединённых операторами поиска), определённых персональных данных или при фиксации сходства с другими важными документами. В текущей версии блокировка по контенту реализована только для внешних носителей (USB-флеш-накопителей, CD- / DVD-дисков и мобильных устройств). В следующие релизы планируется добавить указанную функциональность для всех контролируемых каналов коммуникации.
Также в «Гарда Предприятие» добавлен контроль передачи файлов в облачные хранилища через веб-интерфейсы.
Агент для систем на базе macOS теперь может перехватывать сообщения, включая тексты, изображения и файлы, в настольной версии мессенджера Telegram.
Дополнительно появилась возможность контроля передачи файлов при подключении внешних устройств по NTP-протоколу, в т. ч. мобильных (Android, iOS), камер и других, а также регистрации самих фактов подключения различных внешних носителей данных.
Помимо охвата дополнительных каналов передачи информации расширились возможности администратора DLP-системы. В новой версии «Гарда Предприятие» 5.0 администратор комплекса может исключать сотрудников или группы из поля контроля и удалять записи из журнала событий. В результате исключения из контроля сотрудники или группы перестанут быть доступными для поиска в системе, а их карточки будут доступны для просмотра только пользователям с ролью «Администратор». То же самое произойдёт с инцидентами в безопасности, связанными с исключёнными из поиска сотрудниками.
Также разработчики провели большую работу по устранению багов, оптимизировали стабильность и быстродействие агентов рабочих мест и системы в целом.
Архитектура DLP-системы «Гарда Предприятие»
Комплекс «Гарда Предприятие» представляет собой агентскую DLP-систему, состоящую из нескольких компонентов, которые мы рассмотрим далее.
Рисунок 1. Архитектура DLP-системы «Гарда Предприятие»
Агент рабочего места устанавливается на системы на базе Windows, Linux и macOS. Он контролирует их и подключённые к ним устройства, а также отвечает за выполнение настроенных политик информационной безопасности.
Анализатор сетевого трафика (собственный модуль проксирования шифрованных соединений) получает копию сетевого трафика с маршрутизатора или данные с прокси-сервера по протоколу ICAP и проверяет, соответствует ли передаваемая по сети компании информация установленным DLP-политикам.
Подсистема управления предоставляет гибкие возможности по администрированию процессов перехвата данных в компании, отвечает за анализ этих данных для обнаружения инцидентов в безопасности и строит по ним отчёты.
Центр управления комплексом «Гарда Предприятие» образуется из комбинации подсистемы управления, анализатора сетевого трафика и ещё одного компонента, отвечающего за анализ корпоративной почты.
Таким образом, основная информация, передаваемая по сети компании и полученная с маршрутизатора, прокси-сервера, сервера корпоративной почты, будет отслеживаться даже в том случае, если агенты рабочих машин по каким бы то ни было причинам не установлены на рабочие места.
Подсистема обработки и хранения данных, как следует из названия, отвечает за запись и хранение всей информации, передаваемой в компании. Также она реализует постоянный мониторинг данных со всех подключённых к системе каналов коммуникации и предоставляет возможности по проведению ретроспективного анализа собранной информации.
Отдельно отметим, что в одной из прошлых версий (релиз состоялся в ноябре 2020 года) был осуществлён переход к микросервисной архитектуре. Это повысило эффективность горизонтального масштабирования системы, предоставив широкие возможности по формированию распределённой по филиалам DLP-системы ― географического кластера с единым центром управления.
Модули балансировки подключений агентов рабочих мест автоматически рассчитывают, сколько микросервисов нужно для выполнения задач DLP-системы в части обработки и анализа передаваемых в компании данных.
Рисунок 2. Схема работы комплекса «Гарда Предприятие» в формате географического кластера
Системные требования комплекса «Гарда Предприятие»
«Гарда Предприятие» предоставляется в формате либо готового аппаратно-программного комплекса (в виде 1U- / 2U- / 4U-сервера в зависимости от необходимых вычислительных мощностей), либо программного продукта с набором предустановленных DLP-политик. Во втором случае развёртывание системы происходит в среде виртуализации.
Благодаря системе хранения (собственная разработка «Гарда Технологий») уровня DataWarehouse обеспечены быстрый поиск и анализ больших объёмов данных — сотни терабайт за секунды. Архитектура комплекса позволяет организовать хранение данных на одном сервере.
Агенты рабочих мест адаптированы ко всем популярным операционным системам:
- Windows XP SP3 / 7 / 8 / 10 / Server 2008 и 2012,
- Linux Special Edition версии 1.6 и выше,
- Astra Linux Common Edition версии 1.9 и выше,
- Ubuntu версий 16 и 18,
- Linux Mint версий 18 и 19,
- macOS версий 10.14, 10.15 и 11.0 (Big Sur).
Для работы с DLP-системой у пользователя должен быть установлен один из следующих браузеров: Google Chrome (80.0.3987 и выше), Mozilla Firefox (68.0.1 и выше), Opera (65.0.3467.78 и выше).
Функциональные возможности DLP-системы «Гарда Предприятие»
DLP-система «Гарда Предприятие» обладает расширенными функциональными возможностями по всестороннему контролю, анализу и хранению информации, передаваемой в компании. Мы перечислим используемые технологии далее.
Поиск похожих документов позволяет находить текстовые документы на основе образцов с возможностью обнаруживать факты изменения содержания, передачи или копирования фрагментов исходного текста. Эта функция реализована для документов форматов DOC, DOCX, XLS, XLSX, PPT, PPTX, HTML, EML, XML, TXT, PDF даже в том случае, если они найдены в архивах.
Критериальный поиск предоставляет разнообразные возможности по поиску информации на основе сигнатур и других нетекстовых параметров (например, по типу или объёму данных, протоколу передачи или учётным записям сотрудников), а также распознаванию текста на изображениях для последующего анализа. С помощью этой технологии можно находить в сетевом трафике документы или их фрагменты, чертежи (AutoCAD, SolidWorks, «Компас») и выделять структурированные данные — например, паспортов или кредитных карт — в потоке информации.
Лингвистический анализ позволяет искать текстовую информацию в различных файлах (текстовых или графических) и в архивах по ключевым словам и фразам с учётом морфологии русского и английского языков. Для категоризации данных по тематикам можно использовать настраиваемые словари.
Поиск документов на рабочих местах и в сетевых хранилищах осуществляется агентами в соответствии с определёнными DLP-политиками.
Хранение и анализ данных реализованы различными методами обработки больших объёмов информации таким образом, чтобы был возможен быстрый доступ к ним — в частности, для обеспечения мгновенного отклика системы при критериальном и полнотекстовом поиске.
Контроль HTTPS-трафика возможен как на рабочих местах (с помощью агентов, функционирующих в автономном режиме), так и в сети (с помощью анализатора сетевого трафика, установленного в разрыв контролируемых каналов передачи данных).
Контроль облачных хранилищ ― технология для защиты конфиденциальной информации от передачи во внешние облачные хранилища. Ещё раз отметим, что в рассматриваемой версии комплекса появилась возможность контролировать не только приложения хранилищ, но и их веб-версии.
Контроль периферийного оборудования на рабочих местах реализован посредством агентов и позволяет отслеживать работу со внешними носителями информации, блокировать подключение устройств на основе белых и чёрных списков, а также осуществлять теневое копирование данных для последующего анализа.
Контроль приложений на рабочих местах, а именно возможности по управлению доступом к приложениям по категориям и анализу активности их использования, также реализованы посредством агентов.
Для того чтобы у читателя сформировалось полное представление о возможностях реализованных в DLP-системе, перечислим контролируемые каналы коммуникации на рабочих местах и в сети компании.
С помощью агента можно блокировать передачу конфиденциальных документов, просматривать рабочий стол сотрудника в режиме реального времени или делать снимки экрана автоматически при выполнении определённых условий, искать документы, а также контролировать следующие каналы утечки конфиденциальных данных:
- съёмные носители информации;
- сервисы печати;
- веб-трафик (сайты, веб-почта, социальные сети);
- мессенджеры (Skype, Viber, Telegram, Jabber, ICQ, Lync, а в ближайших релизах планируется добавить контроль WhatsApp);
- приложения (обеспечивается запрет их использования в соответствии с установленными политиками);
- облачные хранилища;
- устройства ввода (микрофон, клавиатура).
В сети компании «Гарда Предприятие» может интегрироваться с прокси-сервером по протоколу ICAP для дополнительного контроля информации внутри сети, синхронизировать базу сотрудников с учётными записями из LDAP-каталогов (например, с Active Directory), а также контролировать следующие каналы:
- веб-сайты (HTTP, HTTPS),
- социальные сети,
- корпоративную почту (по протоколам SMTP, POP3, IMAP, MAPI), внешние почтовые сервисы (в т. ч. Microsoft Office 365) и веб-почту,
- сервисы FTP, SMB, Torrent,
- интернет-мессенджеры (QIP, ICQ, Gtalk, MMP и др.),
- телефонию (VoIP, SIP, SDP, H.323, MGCP, SKINNY, Megaco/H.248), причём реализована возможность отслеживать звонки не только с рабочих машин, но и с телефонов,
- Skype for Business.
Кроме того, «Гарда Предприятие» использует технологии по обнаружению фактов передачи конфиденциальных документов: чертежей и схем форматов AutoCAD (DWG, DXF, DWT), SolidWorks (STL) и КОМПАС (A3D, CDW, SPW, KDW, M3D), файлов или изображений, содержащих персональные данные (паспорта, водительские удостоверения, банковские карты, СНИЛС, ИНН, VIN-коды, расчётные счета), документов с печатями и т. д.
Работа с DLP-системой «Гарда Предприятие»
Мы не будем подробно останавливаться на моментах связанных с развёртыванием и первоначальной конфигурацией, поскольку серверная часть DLP-системы поставляется клиентам в виде готового продукта и не требует специальной настройки, и сразу перейдём к работе с «Гарда Предприятием».
Пользователи могут работать с DLP-системой с любого удобного устройства — компьютера, планшета или телефона — через веб-интерфейс. А при настроенной синхронизации с LDAP (о ней мы расскажем немного далее) доступ к интерфейсу возможен с использованием доменной авторизации.
Рисунок 3. Окно аутентификации к веб-интерфейсу DLP-системы «Гарда Предприятие»
Обзор разделов веб-интерфейса
Сразу на главной странице отображены общая статистика по работе комплекса, перехваченной информации и инцидентам в безопасности, рейтинги сотрудников по используемым приложениям или другим параметрам, список последних нарушений установленных политик (это отчёты по различным показателям, сгенерированные за определённый промежуток времени).
Рисунок 4. Главная страница интерфейса комплекса «Гарда Предприятие»
Пользователь может взаимодействовать с каждым отчётом — например, выгружать в формате PDF или XLS, менять тип диаграммы, — а также (при наличии соответствующих прав) настраивать их отображение в соответствии с рабочими нуждами: менять их местами, удалять, добавлять новые виды отчётов.
Представление статистической информации в графическом формате, обновляемом в режиме реального времени (каждые 10 минут), существенно облегчает задачи по мониторингу событий в сети: различные аномалии или возможные сбои в работе комплекса хорошо отличимы на соответствующих диаграммах.
Интерфейс включает в себя следующие основные разделы:
- «Политики» ― раздел для управления DLP-политиками.
- «Поиск» ― раздел поиска по всем данным и документам, передаваемым в сети предприятия.
- «Сотрудники» ― раздел предоставляющий возможности работать с карточками сотрудников, просматривать статистику по их активности и другую связанную информацию (нарушения DLP-политик, снимки экранов и другое).
- «Отчёты» ― раздел позволяющий просмотреть информацию о статистике по использованию рабочего времени и веб-ресурсов.
- «Журналы» ― раздел, в котором отображены все происходящие в системе действия пользователей и возникающие системные сообщения.
- «Настройки» ― раздел для администрирования комплекса.
Далее мы подробно рассмотрим возможности взаимодействия с большинством из разделов.
Настройка политик
Грамотно определённые в DLP-системе политики информационной безопасности составляют основу для эффективного выявления нарушений в организации и предотвращения утечек конфиденциальных сведений. В комплексе «Гарда Предприятие» реализованы широкие возможности по настройке DLP-политик в зависимости от преследуемых целей.
Рисунок 5. Раздел «Политики» интерфейса комплекса «Гарда Предприятие»
По назначению можно выделить:
- политики контроля (мониторинга) для отслеживания движения информации на предприятии;
- политики сканирования для поиска конфиденциальных документов в сети;
- политики блокировки для запрета передачи важных данных или документов (по меткам, контенту или по файловым хранилищам).
Во время просмотра политики в соответствующем разделе интерфейса пользователь видит информацию о последних инцидентах по этой политике, список нарушивших её сотрудников и использованные при этом каналы коммуникации в случае срабатывания политик блокировки или мониторинга, а также перечень рабочих мест ― для политик сканирования. Здесь же оператор может перейти ко списку всех нарушений этой политики.
Рисунок 6. Настройка DLP-политики в интерфейсе комплекса «Гарда Предприятие»
При необходимости пользователь с соответствующими разрешениями может останавливать детектирование событий для выбранных DLP-политик, удалять нарушения или саму политику.
Политики мониторинга
Политики контроля, они же политики мониторинга, по факту являются некими критериями поиска по обнаружению любой передачи данных, которая может нанести ущерб компании, то есть которая нарушает её информационную безопасность. В качестве контролируемых сведений могут выступать ключевые фразы, персональные данные, соответствующие определённому типу документов (ИНН, банковские карты, паспорт, СНИЛС и другие) или регулярному выражению, а также документы для сравнения; в последнем случае будут отслеживаться похожие файлы. Помимо этого пользователь может настраивать контроль передачи информации определённой тематики (по специально созданным словарям) и мониторинг по отдельным сотрудникам, выступающим в роли получателей или отправителей. Это полезно в случаях, когда чья-то активность вызывает подозрения и требует дополнительного и индивидуального наблюдения.
Рисунок 7. Создание политики мониторинга в интерфейсе комплекса «Гарда Предприятие»
Политики блокировки
Принципиальным нововведением в обозреваемой версии «Гарда Предприятия» стала возможность блокировать передачу данных и файлов по результатам контентного анализа и при использовании веб-версий файловых хранилищ. О них мы расскажем более подробно. Кроме того, можно запретить передачу промаркированных документов, предварительно добавив их в общие папки и установив специальные метки.
Для блокирования передачи файлов оператор системы, как и при создании политик мониторинга, указывает ключевые слова, типы персональных данных, образцы файлов для сравнения, словари (если нужно блокировать передачу документов по наличию определённой лексики). Также можно выбрать каналы связи, для которых данные будут блокироваться, и настроить другие параметры (например, отправку оповещений по почте при срабатывании политики или экспорт в SIEM).
Сейчас реализовано два сценария блокирования документов по контенту. Если политика применяется для рабочего места, то для передачи любого документа требуется положительное решение системы (вердикт), а для блокирования ― отрицательное. Если вердикта для файла нет, то либо выполняется проверка контентным анализатором (она может занять продолжительное время, если файл большой), либо передача запрещается полностью, если включено блокирование всех документов без вердикта.
Рисунок 8. Создание политики блокирования передачи документов по контенту в интерфейсе комплекса «Гарда Предприятие»
Блокирование передачи по файловым хранилищам происходит в том случае, если контрольная сумма данных в передаваемом с рабочей машины документе соответствует объёму данных в документе запрещённом для отправки. Для реализации этого механизма предварительно формируется специальный список контрольных сумм данных, пополняемый по результатам проверки каждого нового файла. Как и в случае блокирования по контенту, можно настроить запрет передачи документов из файловых хранилищ по умолчанию, однако такая политика может стать препятствием для полноценной работы сотрудников.
Рисунок 9. Создание политики блокирования передачи по файловым хранилищам в интерфейсе комплекса «Гарда Предприятие»
Политики сканирования
Политики сканирования для поиска конфиденциальных данных в сети предприятия позволяют в том числе идентифицировать сотрудников, которые хранят документы с такими данными (поддерживаются форматы DOC, DOCX, PPT, PPTX, XLSX, PDF, ODT, ODP, ODS). Эти функции реализуют агенты DLP-системы, установленные на рабочих местах или на файловых хранилищах сети предприятия.
Процесс создания и настройки политики сканирования по своей сути не отличается от предыдущих типов политик.
Рисунок 10. Создание политики блокирования передачи по файловым хранилищам в интерфейсе комплекса «Гарда Предприятие»
Расследование инцидентов и поиск данных
«Гарда Предприятие» предоставляет широкие возможности по поиску данных и документов среди всей информации, которая перехватывается в сети предприятия. Эта функция востребована клиентами для предварительной проверки актуальности новых политик безопасности и ретроспективного расследования неучтённых инцидентов, произошедших до создания соответствующих политик. Благодаря возможностям быстрого поиска в массиве данных — более 100 ТБ/с — пользователь DLP может отфильтровать выдачу архива по различным параметрам, включая каналы коммуникации или тип передаваемых данных, сотрудников, отправителей или получателей информации, теги (пометки, которые устанавливаются на конкретное событие для облегчения его поиска) и другие — например, можно искать по названию рабочего места, имени процесса или формату файлов. Также реализована возможность расширенного поиска по маске строки и при помощи логических операторов.
При этом для удобства пользователей система позволяет сохранить условия поиска в виде фильтра. Впоследствии можно не только применять его для поиска информации, но и создать на его основе политику мониторинга для детектирования инцидентов в безопасности.
Рисунок 11. Раздел «Поиск» интерфейса комплекса «Гарда Предприятие»
В интерфейсе системы также можно просматривать схему распространения данных (отчёт по движению информации в сети), то есть кто и посредством каких каналов информацию передавал.
Рисунок 12. Схема распространения данных в сети предприятия в интерфейсе комплекса «Гарда Предприятие»
В разделе с функциональными возможностями комплекса мы уже описали основные особенности, связанные с контентным анализом (поиск данных и документов по ключевым словам или фразам, по регулярным выражениям и на основе образцов других файлов) и прочими вариантами поиска по данным и документам в сети. Поэтому просто приведём пример поиска объектов связанных с посещением известных сайтов с вакансиями.
Рисунок 13. Поиск по перехваченным данным в интерфейсе комплекса «Гарда Предприятие» с использованием типового фильтра
Кроме того, возможно использование настраиваемых словарей для категоризации объектов в соответствии с используемой в них лексикой. Словарь состоит из списка ключевых слов определённой тематики, для каждого из которых указан его вес (значимость). При использовании словаря для поиска данные будут отображаться в результатах только в том случае, если они содержат слова или фразы, общий вес которых превышает пороговое значение (100 %).
Рисунок 14. Пример словаря для поиска данных в интерфейсе комплекса «Гарда Предприятие»
В целом основное назначение поиска данных ― это возможность проверить, всё ли было учтено при настройке политик безопасности или есть какие-то ещё данные, которые нужно дополнительно анализировать и отслеживать. Иначе говоря, это способ тестирования DLP-политик и защиты от ложноположительных срабатываний.
Контроль сотрудников
На странице «Сотрудники» интерфейса комплекса «Гарда Предприятие» пользователь увидит дерево структуры компании, включая внешние контакты (например, по аккаунтам в мессенджерах, социальной сети «ВКонтакте», Skype, по почтовому адресу), статистику по активности сотрудников, последние снимки рабочих экранов и диаграмму связей. А если настроена синхронизация с LDAP-сервером, то в систему автоматически экспортируется (с периодическим обновлением) база данных сотрудников.
Рисунок 15. Страница «Сотрудники» в интерфейсе комплекса «Гарда Предприятие»
Рисунок 16. Добавление нового контакта в интерфейсе комплекса «Гарда Предприятие»
Карточки сотрудников
Карточка сотрудника показывает основную информацию о нём, которая дополняется автоматически (например, в случае использования им новых мессенджеров, контролируемых комплексом) или вручную оператором.
Рисунок 17. Карточка сотрудника в интерфейсе комплекса «Гарда Предприятие»
Графики активности
Здесь же можно увидеть график активности сотрудника, который показывает количество фактов получения или передачи информации через различные каналы связи (количество перехваченных объектов). При этом пользователь может настраивать параметры отображения и переходить к списку объектов каждого типа непосредственно при просмотре графика.
Рисунок 18. График активности сотрудника в интерфейсе комплекса «Гарда Предприятие»
Просмотр связей сотрудников
Диаграмма связей (графическое отображение взаимодействия сотрудников между собой или со внешними контактами) наглядно показывает пул общения каждого работника. Оператор может динамически разворачивать связи контактов сотрудников, добавлять новые контакты из дерева структуры компании и переходить к просмотру переданных сообщений и файлов при нажатии на связующую линию диаграммы. При этом толщина и цвет линий и иконок демонстрируют тип связи и активность взаимодействия. Красные элементы на схеме показывают взаимодействие со внешними контактами, а синие ― с другими сотрудниками.
Рисунок 19. Визуализация связей сотрудников в интерфейсе комплекса «Гарда Предприятие»
Контроль рабочего времени
Статистика по используемым приложениям и веб-ресурсам наиболее полезна для сотрудников отдела кадров, поскольку она демонстрирует, насколько эффективно с точки зрения рабочего процесса использует своё время каждый сотрудник.
Диаграмма ранжирует используемые работником программы и приложения за выбранный промежуток времени.
Рисунок 20. Статистика по использованию программ и приложений в интерфейсе комплекса «Гарда Предприятие»
Также в интерфейсе комплекса «Гарда Предприятие» доступен отчёт отражающий подробную статистику рабочего дня одного или нескольких сотрудников. На нём хорошо визуализируются периоды активной работы (выделены синим цветом), отсутствия активности (если более 10 минут нет никаких действий с помощью мыши или клавиатуры, то такой период обозначается светло-голубым цветом) или отсутствия на рабочем месте, когда машина заблокирована (серый цвет).
Пользователь системы увидит информацию об используемой программе в виде всплывающего сообщения, появляющегося при наведении на какой-то участок активности.
Рисунок 21. Статистика рабочего дня сотрудника в интерфейсе комплекса «Гарда Предприятие»
Статистика по наиболее часто посещаемым веб-сайтам за выбранный период и общий список всех сайтов с количеством посещений и размером собранных объектов также регистрируется в системе.
На момент подготовки обзора отсутствует категоризация или тегирование веб-ресурсов: их нельзя объединить в группы по типу, а просмотр статистики по большому количеству сайтов может быть неудобен. Этот изъян перекрывается возможностью по настройке словарей, но только частично — в вопросах поиска или мониторинга данных, а не построения статистических отчётов. Разработчик планирует внедрить доработки уже в ближайших релизах.
Рисунок 22. Статистика по посещению веб-сайтов в интерфейсе комплекса «Гарда Предприятие»
Рисунок 23. Полный список посещаемых веб-сайтов в интерфейсе комплекса «Гарда Предприятие»
Экспорт отчётов по сотрудникам
Пользователь системы может выгружать все доступные данные, включая диаграммы, графики и детализированные отчёты, за необходимый период по любым сотрудникам в формате PDF или XLSX.
Настройки системы
Комплекс «Гарда Предприятие» хоть и предоставляется клиентам в уже готовом формате, но всё равно требует некоторых действий со стороны администраторов.
Среди общих настроек функционирования системы отметим возможности по настройке перехвата веб-трафика, ограничения на размеры данных и файлов, которые перехватываются на рабочих местах.
Рисунок 24. Общие системные настройки комплекса «Гарда Предприятие»
При настройке перехвата веб-трафика можно добавлять исключения. Например, для внутренних ресурсов, посещение которых не будет связано с рисками в информационной безопасности, можно создавать списки сайтов, соединения с которыми по HTTPS не будут расшифровываться.
Установка и настройка агентов
Для того чтобы система имела возможность контролировать рабочие места, на них должны функционировать агенты DLP-системы. Их установку, настройку и обновление можно производить непосредственно в интерфейсе комплекса при наличии соответствующих прав.
Рисунок 25. Установка агента на рабочее место через интерфейс комплекса «Гарда Предприятие»
Агенты настраиваются под задачи пользователя системы и контролируют заданные каналы передачи информации. Настройки сохраняются в шаблон, что позволяет применять индивидуальные настройки работы агента для разных пользователей или рабочих мест.
Рисунок 26. Настройка агента через интерфейс комплекса «Гарда Предприятие»
В подразделе «Агенты рабочих мест» указан общий список рабочих мест в мониторинге и их статусы, которые отражают информацию о функционировании агентов.
Пользователи и роли
Каждая учётная запись в DLP-системе имеет определённую роль со своими правами доступа. Три роли установлены в системе изначально:
- Администратор имеет доступ ко всем функциям и разделам интерфейса. В его задачи входят настройка и контроль за функционированием комплекса.
- Офицер информационной безопасности может создавать политики, просматривать отчёты по событиям, сотрудникам и т. д.
- HR, или сотрудник отдела кадров, видит только информацию по сотрудникам, причём связанную не с нарушениями политик, а с эффективностью их работы.
Помимо этого администратор может редактировать или удалять существующие роли и создавать новые с указанием необходимых настроек доступа к функциям системы, а также настроить автоматическое назначение роли доменным пользователям (если предварительно настроена синхронизация с Active Directory по LDAP).
Рисунок 27. Редактирование роли «HR» в интерфейсе комплекса «Гарда Предприятие»
Рисунок 28. Создание новой роли пользователя в интерфейсе комплекса «Гарда Предприятие»
Подключение к LDAP
Как уже было замечено, в комплексе реализована возможность синхронизации базы данных сотрудников с учётными данными из Microsoft Active Directory через LDAP. Это делает доступными такие функции, как доменная авторизация или автоматическое присвоение пользователям некоторых групп определённых ролей, а также дополняет информацию о сотрудниках данными об их принадлежности к определённым группам пользователей Active Directory.
Оповещения
Оператор комплекса может настроить отправку оповещений о срабатывании DLP-политик на почтовый сервер.
Рисунок 29. Настройка отправки оповещений на почтовый сервер в интерфейсе комплекса «Гарда Предприятие»
Экспорт данных в SIEM
Система позволяет экспортировать данные о срабатывании DLP-политик в SIEM-системы в формате CEF и LEEF.
Рисунок 30. Экспорт данных в SIEM-систему через интерфейс комплекса «Гарда Предприятие»
Прочие настройки
Среди других настроек системы отметим установку правил для исключения перехвата определённых данных (так можно в том числе исключить какого-то сотрудника, ресурс или канал связи из мониторинга) и возможности по самодиагностике комплекса. Администратор может проводить тестирование источников данных (анализатора сетевого трафика) и просматривать такую информацию о комплексе, как состояние дисков хранилища и сегментов базы данных, объём свободного и занятого дискового пространства и оперативной памяти, а также сведения о поступлении, индексации, сохранении и ротации данных.
Рисунок 31. Результаты самодиагностики через интерфейс комплекса «Гарда Предприятие»
Выводы
Нарушения информационной безопасности, которые связаны с деятельностью сотрудников в отношении конфиденциальных данных, по статистике приводят к наиболее тяжёлым для бизнеса последствиям. Поэтому так важно контролировать информационные потоки в сети предприятия, что и объясняет развитие как мирового, так и отечественного рынков DLP-систем.
Новая версия «Гарда Предприятия» представляет собой гибридную DLP-систему, которая использует агенты для контроля сотрудников на местах и сетевые перехватчики для анализа трафика. Активная блокировка вероятных утечек конфиденциальных данных, интегрированная в новую версию, существенно повышает её эффективность в борьбе как со случайными утечками, так и с преднамеренными кражами корпоративной информации.
Система обладает обширными функциональными возможностями по контролю каналов коммуникации, перехвату и анализу данных. Помимо решения основной задачи, связанной с детектированием нарушений DLP-политик и защитой компании от утечек информации, система позволяет оценивать эффективность работы сотрудников, а также может ускорять расследование скрытых инцидентов в безопасности благодаря ретроспективному анализу данных.
Принципиальными обновлениями версии 5.0 стали возможности по контролю (включая блокирование) передачи данных и документов по результатам анализа содержимого, а также отправки их в файловые хранилища через веб-интерфейсы (контроль соответствующих приложений осуществлялся и в более ранних версиях системы) и при подключении внешних носителей информации: мобильных устройств, USB-флеш-накопителей, камер и др.
«Гарда Предприятие» поставляется в формате готового решения, сконфигурированного с учётом требований и активов организации, что существенно упрощает процесс развёртывания и первоначальной настройки, сокращая период внедрения DLP-системы до нескольких дней. Хорошая горизонтальная масштабируемость системы и возможность её использования с единым центром управления в распределённой ИТ-инфраструктуре позволяют использовать её на предприятиях любого размера, включая холдинги.
Отдельно отметим, что в настоящее время происходит обновление сертификата ФСТЭК России для DLP-системы «Гарда Предприятие». Информацию о старом документе (№3437) можно посмотреть здесь, а получение нового, актуального сертификата планируется в 2022 году.
Достоинства:
- Единый центр управления при использовании в распределённой ИТ-инфраструктуре.
- Возможность установки агентов на операционные системы Windows, Linux и macOS.
- Система хранения собственной разработки с повышенным уровнем сжатия данных и высокой скоростью поиска по архиву.
- Удобный и интуитивно понятный пользовательский веб-интерфейс, настраиваемые отчёты, в т. ч. интерактивные, обновляемые в режиме реального времени.
- Широкие возможности по контролю каналов коммуникации в сети предприятия, включая возможность мониторинга сетевого трафика без установки агентов на рабочие места.
- Расширенные возможности по контентному анализу, выявление попыток передачи документов, чертежей и изменённых конфиденциальных сведений, активное блокирование передачи данных или документов.
- Контроль эффективности работы сотрудников и подробные отчёты по использованию рабочего времени.
- Подробная эксплуатационная документация и комплексная техническая поддержка.
- Не требуется дополнительных лицензий.
- Полностью российская DLP-система, зарегистрированная в реестре Минцифры России и соответствующая требованиям регуляторов (152-ФЗ, 98-ФЗ, 149-ФЗ и GDPR).
Недостатки:
- Отсутствие возможностей по категоризации веб-ресурсов для построения статистических отчётов по используемым сайтам.
- Для грамотной и точной настройки DLP-политик в системе требуется определённая степень квалификации сотрудников, включая глубокое понимание процессов обеспечения информационной безопасности в компании. Частично этот момент перекрывается наличием подробной эксплуатационной документации.