Сертификат AM Test Lab
Номер сертификата: 385
Дата выдачи: 31.05.2022
Срок действия: 31.05.2027
- Введение
- Функциональные возможности InfoWatch Traffic Monitor 7.3
- Архитектура InfoWatch Traffic Monitor 7.3
- Системные требования InfoWatch Traffic Monitor 7.3
- Новые возможности и улучшения InfoWatch Traffic Monitor 7.3
- Применение новых возможностей InfoWatch Traffic Monitor 7.3
- 6.1. Автоматизированное обучение DLP-системы
- 6.2. Перехват файлов добавляемых в архив
- 6.3. Интеграция с облачными сервисами
- 6.4. Установка и эксплуатация системы в крупных организациях
- 6.5. Защита данных DLP-системы
- 6.6. Визуальная аналитика в InfoWatch Vision
- 6.7. Предиктивный анализ данных DLP-системы (UBA)
- Выводы
Введение
InfoWatch Traffic Monitor — отечественная DLP-система, присутствующая на рынке более 18 лет. За это время сильно изменились и бизнес-контекст, и технологический ландшафт: если в начале пути в мире DLP всё решало количество каналов, которые перехватывал и блокировал тот или иной продукт, то в современном мире, как считает вендор, всё стало гораздо интереснее.
С массовым переходом в «цифру», гибридным характером работы и возросшей ценой критически важной информации успех внедрения DLP-системы определяется её возможностями по быстрому реагированию на изменяющиеся процессы, типы документов и данных, по выявлению рисков, которые сложно идентифицировать без корреляции разнородных и часто по отдельности неприметных событий.
В этом материале мы подробно рассмотрим обновлённую версию DLP-системы InfoWatch Traffic Monitor 7.3 от компании InfoWatch. Ранее мы публиковали обзор одной из предыдущих версий продукта — InfoWatch Traffic Monitor 6.7; с тех пор прошло более четырёх лет, и за это время он значительно изменился. Сфокусируем внимание на возможностях и улучшениях обновлённой версии продукта.
Функциональные возможности InfoWatch Traffic Monitor 7.3
Функциональные возможности продукта и решаемые задачи
InfoWatch Traffic Monitor предназначен для решения следующих задач:
- Контролировать распространение информации как внутри компании, так и за её пределы, в том числе в условиях гибридной работы, когда часть сотрудников работает удалённо, с личных устройств и с облачной инфраструктурой.
- Предотвращать утечки конфиденциальной информации путём блокировки её пересылки или передачи, включая защиту персональных данных: несмотря на кажущуюся очевидность и длительную историю вопроса, надёжная защита ПДн остаётся трудноразрешимой задачей для большинства DLP-систем.
- Выявлять и расследовать инциденты в информационной безопасности, в том числе собирать доказательства для дальнейших судебных разбирательств.
- Выявлять внутренние нарушения, нелояльное поведение сотрудников, мошеннические схемы и злоупотребления.
- Прогнозировать возможные риски в информационной безопасности на основе поведенческого анализа (UBA).
Архитектура InfoWatch Traffic Monitor 7.3
InfoWatch Traffic Monitor 7.3 представляет собой модульную систему, в которой комбинация используемых модулей может изменяться и масштабироваться в зависимости от потребностей компании.
Рисунок 1. Архитектура InfoWatch Traffic Monitor 7.3
Система собирает разнообразные данные на конечных точках и на сетевом уровне; частично обработка данных происходит там же (на конечных точках), что даёт возможность предотвратить утечки, например, в случае если компьютер отключён от корпоративной сети, но основная часть обрабатывается сервером InfoWatch Traffic Monitor.
Агенты на конечных точках собирают данные о движении информации и действиях сотрудников, на сетевом уровне обрабатываются почтовый и веб-трафик, а также трафик с интегрированных систем. Например, InfoWatch Traffic Monitor интегрирован с Microsoft Teams: если сотрудник работает с личного устройства из дома, то все коммуникации на этой платформе происходят вообще вне корпоративного периметра, но за счёт интеграции с Microsoft Teams такие коммуникации тоже контролируются системой.
Модуль Data Discovery сканирует файловые ресурсы и рабочие станции в целях анализа и классификации хранимой информации, чтобы выявить факты ненадлежащего хранения данных или обнаружить конкретные документы, которые имеют отношение к какому-либо инциденту.
InfoWatch Activity Monitor — модуль для контроля действий пользователей. Собирает данные о действиях сотрудников для анализа их рабочей активности, использования ими приложений, позволяет восстановить последовательность действий и понять контекст нарушения при расследовании.
InfoWatch Vision — BI-модуль визуального анализа данных DLP-системы в режиме реального времени. Представляет данные DLP-системы Traffic Monitor в виде статистики и графа связей. Обеспечивает быстрый поиск на графе сопряжённых с инцидентом событий, позволяет исследовать коммуникации сотрудников и пути перемещения документов, анализировать круг общения подозреваемых, производить мониторинг статистики в поисках инцидентов и аномалий даже в «серой зоне» и выгружать отчёты. Особенностью InfoWatch Vision является его высокая производительность: граф связей может отображать до 50 тысяч узлов одновременно и быстро перестраиваться при изменении фильтров. Это делает инструмент пригодным для интерактивного анализа данных и коммуникаций; вендор добился такой скорости за счёт использования технологий применяемых при разработке компьютерных игр.
InfoWatch Prediction — инструмент для предиктивного анализа собираемых DLP-системой Traffic Monitor данных. С помощью технологий искусственного интеллекта модуль строит профили пользователей, а затем ищет отклонения от привычного поведения и выявляет подозрительные паттерны, состоящие из набора событий, которые, может быть, остались бы вне зоны внимания по отдельности. InfoWatch Prediction автоматически формирует рейтинг сотрудников в соответствии с количеством и оценкой аномалий, привлекая внимание специалиста по ИБ к наиболее значимым рискам.
Коннекторы — набор модулей перехвата для интеграции со сторонними системами для сбора данных и интеграции в инфраструктуру (например, коннекторы к SIEM-системам).
Консоль управления — веб-интерфейс администрирования системы для настройки политик и управления инцидентами.
Отметим, что InfoWatch Traffic Monitor 7.3 поддерживает распределённую схему внедрения с централизованным сбором статистики по филиалам для контроля сотрудников ИБ на местах. Это актуально, когда руководителю ИБ в головном офисе необходимо проводить мониторинг оперативной обстановки по всей компании, а также контролировать работу специалистов по ИБ на местах. В данном случае руководитель ИБ получает статистику по всей компании и каждому филиалу в отдельности. При необходимости он может перейти в подробности конкретного события.
Таким образом, единое информационное пространство InfoWatch Traffic Monitor 7.3 упрощает контроль настроенных политик в филиалах, делегирование расследований специалистам на местах, эскалацию сложных кейсов на руководство в головном офисе.
Контролируемые каналы и протоколы
Каналы перехвата:
- Почта: SMTP / ESMTP, MIME / S/MIME, POP3, IMAP4, IBM Domino.
- Веб-ресурсы: HTTP / HTTPS, FTP / FTPS, веб-почта, блоги / форумы / соцсети, облачные хранилища, форумы на php, IP.Board, vBulletin.
- Мессенджеры: WhatsApp, Telegram, Skype, Jabber (XMPP), Microsoft Lync (SIP), SMS, Facebook Messenger, «ВКонтакте», Cisco Messenger.
- Облачные хранилища: Dropbox, OneDrive, «Яндекс.Диск», Google Drive, «Облако Mail.ru», Box. При этом за счёт универсальной технологии перехвата файлов разработчик готов за несколько дней поддержать любой файлообменник без необходимости перевыпуска продукта.
- Облачные сервисы Microsoft (Teams, Exchange, Office 365).
- Хранилища данных: FTP, рабочие станции, файловые хранилища, Microsoft SharePoint.
- Средства видеокоммуникации: Zoom, Express, Cisco WebEx, TeamViewer.
Контроль рабочих станций охватывает печать на локальных и сетевых принтерах, Bluetooth, IrDA, подключение к сетям Wi-Fi, запуск приложений (белые и чёрные списки), контроль буфера обмена, создание снимков экрана, сетевые подключения и работу с облачными сервисами.
Есть также контроль удалённого подключения: Microsoft RDP, Citrix XenApp и TeamViewer.
Каналы блокировки на основе полноценного контент-анализа:
- Почта SMTP и MAPI, веб-почта.
- Интернет-трафик (социальные сети и др.).
- Облачные хранилища, FTP.
- Съёмные носители, MTP-устройства.
- Буфер обмена, перенос файлов через терминальные соединения и сетевые папки.
InfoWatch Traffic Monitor может блокировать файловые операции по результатам лингвистического анализа содержания файлов. Он анализирует содержимое файла в момент, когда его пытаются переместить. Можно блокировать таким образом перемещения файлов между рабочей станцией и съёмными носителями, сетевыми папками, FTP или облачными хранилищами. Такой подход обеспечивает не только контроль отправки документов за периметр компании, но и блокировку нарушений политик хранения и использования документов внутри компании.
Управление инцидентами
Рисунок 2. Список событий с цветовой дифференциацией по уровню нарушений InfoWatch Traffic Monitor 7.3
На основании настроенных политик безопасности специалист по ИБ увидит перехваченные события в удобном для анализа виде. События маркируются цветом в соответствии с уровнем нарушения. Доступна информация о времени, отправителе, получателе, политиках, категориях, объектах защиты, сработавших технологиях анализа, а также о характере действий, повлёкших за собой срабатывание политик: буфер обмена, интернет-активность, обмен файлами, печать, отправка или получение фотографий, электронная почта, мессенджер, хранение файлов. Просматривая подсвеченные системой события, специалист по ИБ может принимать оперативные решения и собирать информацию для расследования и анализа инцидентов, а также помечать события в соответствии с вердиктом — «решение не принято», «нарушение», «нет нарушения», «требуется дополнительная обработка».
Возможности анализа содержимого документов (контентный анализ)
Возможности контентного анализа очевидным образом определяют результативность DLP-системы: чем точнее удастся классифицировать документ, то есть отнести его к той или иной категории конфиденциальных, тем точнее отработают политики. Тем меньше будет вероятность пропустить важный документ, и тем меньше ложноположительных срабатываний порождает система, то есть ИБ-специалист будет эффективнее тратить время на их обработку.
InfoWatch исторически уделяла особое внимание контент-анализу и сейчас в своём арсенале имеет широкий спектр разнообразных технологий такого рода. Перечислим их.
Перехват текста:
- Лингвистический анализ — поиск документов определённой тематики и содержания. Система включает в себя словари по 289 категориям на 42 языках. Из них 20 языков — с поддержкой морфологии. Кроме того, новый словарь для определения документов любой новой или специфической тематики можно создать автоматически. Для формирования собственного словаря в InfoWatch Traffic Monitor есть инструмент «Автолингвист», который работает на основе методов ИИ и позволяет создать словарь «под ключ» силами заказчика, без привлечения специалистов и необходимости передачи конфиденциальных документов кому-либо.
- Детектор выгрузок из баз данных — поиск цитат из заданной базы; выгрузками из БД могут быть персональные данные, данные клиентов, номенклатура, складские остатки, прайс-листы и пр. Технология позволяет на порядок точнее детектировать такие данные за счёт контроля движения конкретного набора данных из конкретной БД вместо использования регулярных выражений. Например, в любом электронном письме содержится подпись, которая при использовании регулярных выражений определится как персональные данные и окажется ложноположительным срабатыванием. В случае использования технологии контроля выгрузок из БД под политику попадут не любые Ф. И. О., а только те, которые содержатся в заданной БД.
- Детектирование цифровых отпечатков — поиск фрагментов текста, принадлежащих к заранее заданным эталонным документам.
- Детектирование заполненных бланков — поиск бланков установленного шаблона. Бланками могут быть различные анкеты, квитанции и пр. Система также детектирует бланки заполненные от руки.
- Детектор текстовых объектов — поиск текстовых объектов, соответствующих заданным шаблонам: номера кредитных карт, СНИЛС, другие стандартизованные реквизиты. Для более точного определения в регулярных выражениях используются верифицирующие функции: так, например, номера кредитных карт проверяются с помощью алгоритма «Луна».
Перехват графики:
- Детектор графических объектов — технология распознаёт предустановленные графические объекты и осуществляет поиск изображений, которые соответствуют какой-либо из категорий: паспорта, кредитные карты, карты геологоразведки и пр. Если в компании появляются новые специфические конфиденциальные изображения, не подходящие ни под одну из категорий «из коробки», новую категорию можно создать автоматически. Для этого в InfoWatch Traffic Monitor есть инструмент наподобие «Автолингвиста», позволяющий создать новую категорию защищаемых изображений силами заказчика, без привлечения третьих лиц и без передачи данных на сторону.
- Детектирование растровых цифровых отпечатков — поиск фрагментов растровых изображений, принадлежащих к заранее заданным эталонным изображениям.
- Детектирование векторных цифровых отпечатков — поиск фрагментов схем и чертежей в векторном формате, принадлежащих к заранее заданным эталонным CAD-файлам. В отличие от бинарных цифровых отпечатков, учитываются характеристики и соотношение отдельных элементов чертежей, что позволяет детектировать даже часть конфиденциального чертежа, а также учитывать изменение масштаба, повороты и отражения.
- Детектирование печатей — поиск изображения печати установленного вида: круглые и треугольные, независимо от угла поворота, смещения, масштаба, яркости изображения и наличия на ней шумов (текст, краска, потёртости и т. д.).
- OCR — мгновенное распознавание текста в изображениях, благодаря чему возможен контроль процессов печати и сканирования документов, перемещения отсканированных копий внутри организации (со сканера на ПК, с ПК на принтер) и за её пределы (отправка отсканированных копий по электронной почте, через сервисы мгновенных сообщений и пр.).
Система позволяет комбинировать несколько технологий анализа в рамках одной политики, что снижает трудоёмкость настройки. Например, для детектирования паспортных данных можно использовать регулярные выражения, графические объекты и OCR.
Технологии анализа применяются как на уровне сетевого шлюза, так и на конечных точках. Это помогает сразу блокировать несанкционированные действия.
Системные требования InfoWatch Traffic Monitor 7.3
Требования к аппаратной конфигурации сервера для InfoWatch Traffic Monitor
Требования к аппаратной конфигурации сервера для InfoWatch Traffic Monitor определяются на основании типа установки, предполагаемой нагрузки на InfoWatch Traffic Monitor и параметров сети, в которой происходит развёртывание системы. Поэтому спецификация оборудования для каждого случая рассчитывается отдельно.
Приведём рекомендованную конфигурацию для InfoWatch Traffic Monitor Enterprise (табл. 1).
Таблица 1. Рекомендуемая конфигурация для InfoWatch Traffic Monitor Enterprise
Серверная часть | Менее 10 ГБ/день | От 10 до 50 ГБ/день | Более 50 ГБ/день |
Дисковая подсистема | RAID-массив с отказоустойчивостью: 600 ГБ | RAID-массив с отказоустойчивостью | RAID-массив с отказоустойчивостью |
Процессор | 2 ЦП по 8 ядер + гиперпоточность (Intel Xeon E5-2640 v3 — частота 2,6 ГГц) | 2 сервера с 2 ЦП по 10 ядер | Рассчитывается по запросу |
Оперативная память | 24 ГБ | 32–48 ГБ на каждый из серверов | От 32 ГБ на каждый из серверов |
Гибкая схема лицензирования InfoWatch Traffic Monitor предлагает заказчикам выбирать только те модули, в которых имеется потребность, с возможностью последующего наращивания функциональности системы. Продукт лицензируется по учётным записям и модулям.
Возможности интеграции со смежными системами
Открытый API позволяет интегрировать InfoWatch Traffic Monitor со внешними системами; такие интеграции делают как сама InfoWatch, так и независимые вендоры, в частности по запросам своих клиентов.
Внешние системы:
- Загрузка и постоянное обновление эталонных документов в Traffic Monitor через API из ERP (SAP), CRM и других бизнес-систем для поддержки актуальности политик безопасности.
- С SOC и SIEM-системами — для централизованной обработки инцидентов (PT MaxPatrol, RuSIEM, NeuroDAT, «Комрад», HP ArcSight ESM, Security Vision, Phishman Awareness Center, R-Vision).
- С инфраструктурой заказчика — с прокси-серверами Check Point, UserGate, FortiGate, Squid, Aladdin eSafe WSG, Cisco IronPort WSA для перехвата HTTP- и HTTPS-трафика по ICAP.
- С системами для контроля печати, защиты рабочих станций, системами защищённого документооборота (MFlash, АРТИ Print Xpert, Crosstech DSS).
- С системами EMM-класса (WorksPad) — для контроля корпоративных данных, используемых сотрудниками на личных мобильных устройствах.
- С почтовыми серверами Postfix, «Мой Офис Почта», UserGate, CommuniGate, Kerio, Zimbra, Sendmail, Exim, Microsoft Exchange, Lotus Notes, Office 365.
- С облачными сервисами и мессенджерами Office 365, Exchange Online, Cisco WebEx Teams, Microsoft Teams, eXpress, Tada, Chat2desk, Viber, WhatsApp и др.
Соответствие требованиям по информационной безопасности
Все продукты InfoWatch работают на отечественных операционных системах и соответствуют требованиям импортозамещения.
InfoWatch Traffic Monitor имеет сертификат ФСТЭК России № 4340 (действителен до 16.12.2025) на соответствие требованиям документов:
- По 5-му классу защищённости СВТ от НСД «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищённости от несанкционированного доступа к информации» (Гостехкомиссия России, 1992).
- Требования к уровням доверия по 4-му уровню доверия (УД4) «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2018).
- Требования к средствам контроля съёмных машинных носителей информации по 4-му классу защиты СКН (ИТ.СКН.П4.ПЗ) «Профиль защиты средств контроля подключения съёмных машинных носителей информации четвёртого класса защиты» (ФСТЭК России, 2014).
Кроме того, InfoWatch Traffic Monitor включён в реестр отечественного ПО и обеспечивает соответствие ряду законодательных и регуляторных требований:
- Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон № 152-ФЗ «О персональных данных»;
- Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
- требования по защите коммерческой тайны (98-ФЗ);
- требования по защите инсайдерской информации (224-ФЗ);
- требования по защите данных в Национальной платёжной системе (161-ФЗ, ПП-584, 382-П и другие);
- приказы ФСТЭК России № 17 (ГИС), № 21 (ИСПДн), № 239 (КИИ).
Новые возможности и улучшения InfoWatch Traffic Monitor 7.3
По сравнению с предыдущей рассматриваемой версией (6.7) продукт претерпел ряд важных изменений и улучшений, которые направлены на повышение уровня защиты конфиденциальных данных от утечек:
- Автоматическое обучение DLP-системы с помощью технологий искусственного интеллекта.
- Универсальный перехватчик файлов, нечувствительный к изменению проприетарных протоколов системы, способа шифрования, специфики передачи данных веб-сервиса. При этом возможна доработка под любое приложение за несколько часов.
- Визуальный анализ данных DLP для ускорения расследований, мониторинга инцидентов, исследования коммуникаций и путей перемещения документов.
- Предиктивный анализ данных для управления рисками.
- Блокировка файловых операций по результатам лингвистического анализа содержания файлов между рабочей станцией и съёмными носителями, сетевыми папками, FTP или облачными хранилищами.
- Установка, обновление и разграничение прав доступа для нужд больших территориально распределённых организаций.
- Повышена безопасность данных самой DLP-системы.
Применение новых возможностей InfoWatch Traffic Monitor 7.3
Далее опишем несколько вариантов использования InfoWatch Traffic Monitor 7.3 на практике.
Автоматизированное обучение DLP-системы
Если стоит задача защищать документы определённой тематики, например всё относящееся к тендерам, или к пожарной безопасности, или к любой другой области, достаточно предъявить системе пару десятков документов этой тематики, и она автоматически сформирует «словари», на основании которых будет впоследствии классифицировать вновь поступающие похожие документы как относящиеся к данной тематике.
«Словарь» тут взят в кавычки, потому что в случае InfoWatch Traffic Monitor это — не просто набор терминов, словари InfoWatch учитывают относительную частоту использования слов, что повышает точность детектирования. Для изготовления такого словаря раньше нужно было привлекать профессиональных лингвистов, на создание одного словаря может уйти несколько дней. «Автолингвист» не требует специальных навыков и справляется с задачей за минуты. Таким образом, заказчик может самостоятельно обучить систему и, к тому же, никто посторонний не получает доступа к конфиденциальным документам компании.
То же относится и к графическим данным: систему можно обучить детектировать однотипные изображения, характерные для конкретного заказчика, будь то схемы бизнес-процессов, карты геологоразведки или другие документы в графическом формате.
Разработчик планирует идти в этом направлении дальше, уже анонсировал и теперь «пилотирует» новую разработку — технологию, которая анализирует вообще все документы компании, объединяет их в группы по тематикам, а затем в полуавтоматическом режиме создаёт правила для защиты нужных групп.
Рисунок 3. Схема обучения новым категориям документов в InfoWatch Traffic Monitor 7.3
Схема обучения новым категориям документов в InfoWatch Traffic Monitor 7.3 вполне проста. На вкладке «Автолингвист» создаём новую категорию.
Рисунок 4. Создание новой категории в InfoWatch Traffic Monitor 7.3
Далее загружаем в неё коллекцию документов, которые содержат информацию, по которой необходимо в дальнейшем делать фильтрацию.
Рисунок 5. Загрузка образцов документов в «Автолингвист» InfoWatch Traffic Monitor 7.3
После загрузки InfoWatch Traffic Monitor 7.3 обрабатывает коллекцию документов при помощи технологий искусственного интеллекта.
Рисунок 6. Процесс обучения системы InfoWatch Traffic Monitor 7.3
Аналогичным образом процесс обучения выглядит и с графическими объектами.
Рисунок 7. Схема обучения графического классификатора новым категориям изображений в InfoWatch Traffic Monitor 7.3
Перехват файлов добавляемых в архив
Универсальный перехватчик файлов обеспечивает перехват выгрузки файлов из проприетарных приложений и любого облачного хранилища.
Для контроля передачи файлов через приложение нужно, чтобы вендор поддержал перехват этого приложения. При изменении протокола приложения перехват может перестать работать, и это потребует от вендора доработок и выпуска обновления.
Универсальный перехватчик файлов InfoWatch Application Monitor не зависит от протокола и способа шифрования — в частности, не нарушает шифрование по ГОСТ и не чувствителен к специфике передачи данных того или иного веб-сервиса. Например, AWS, Google, Microsoft Azure могут передавать файлы через WebSocket — протокол связи поверх TCP-соединения, предназначенный для обмена сообщениями между браузером и веб-сервером в режиме реального времени. При таком способе передачи файлов стандартный перехват веб-трафика бесполезен. InfoWatch Application Monitor будет работать в любом случае. Любое новое приложение можно поддержать за очень короткое время, и это не потребует обновления DLP-системы.
С помощью технологии InfoWatch Application Monitor реализована возможность перехватывать файлы добавляемые в архив через программы 7Zip или WinRAR, что позволяет автоматически проанализировать и выявить конфиденциальную информацию в зашифрованных архивах.
Этот кейс полезен, если нужно посмотреть, что сотрудник решил спрятать на своём рабочем месте, какие документы решил поместить в зашифрованный архив.
На практике, как обычно бывает, сотрудник за несколько недель до увольнения начинает архивировать документы, а в последний день (за полчаса до конца рабочего дня) — массово копировать на флешку. InfoWatch Traffic Monitor 7.3 позволяет предотвратить такие виды утечек, обращая внимание офицера информационной безопасности на подозрительные действия сотрудника с конфиденциальной информацией, т. е. предотвратить инцидент в ИБ на ранней стадии.
Если говорить о контроле действий с файлами, то у InfoWatch Traffic Monitor помимо стандартного для всех DLP-систем контроля почты, мессенджеров, облачных сервисов, съёмных носителей и вывода на печать предусмотрен контроль за перемещениями файлов между рабочими станциями и файловыми ресурсами. InfoWatch Traffic Monitor может блокировать файловые операции по результатам лингвистического анализа содержания файлов. Таким образом можно, например, реализовать политику, при которой доступ к определённым файлам будут иметь конкретные сотрудники компании.
Интеграция с облачными сервисами
Тема крайне актуальна в условиях гибридной работы, когда сотрудники часть времени проводят удалённо и работают с личных устройств; в этом случае данные могут перемещаться вообще вне корпоративного периметра — из облака на личные неконтролируемые устройства. Единственный выход — интеграция с облачным сервисом напрямую.
Ранее была сделана интеграция с сервисами Microsoft Teams, Exchange Online и Office 365 Business. Сейчас разработчик активно занимается интеграциями с отечественными сервисами, интерес к которым очевидным образом возрос в современных реалиях.
Рисунок 8. Перехват данных из Microsoft Teams в InfoWatch Traffic Monitor 7.3
Установка и эксплуатация системы в крупных организациях
Обновлены инсталлятор серверных компонентов и механизмы распространения агентов, благодаря чему установка и обновление системы даже в очень больших компаниях ускорились в несколько раз. Переработанный графический интерфейс инсталлятора уменьшает риск ошибки из-за человеческого фактора, удобен, в том числе при установке компонентов продукта на разных серверах, что особенно важно при территориально распределённых внедрениях продукта. Также это позволяет масштабировать инсталляцию продукта — например, добавлять серверы, обеспечивающие перехват трафика.
Агенты устанавливаются на рабочие станции параллельно благодаря использованию множественных точек распространения с учётом топологии сети, что позволяет выйти на показатели установки в 10 000 агентов не более чем за 5 рабочих дней.
Обновлена система управления правами доступа, что позволяет необходимым образом ограничивать права подразделений и отдельных пользователей, сохраняя общий контроль. Кроме того, всё чаще данные DLP-систем становятся востребованными другими подразделениями, например отделом кадров. В InfoWatch Traffic Monitor 7.3 им можно дать права доступа к структуре коммуникаций, метаданным, данным об активности сотрудников, но, например, закрыть доступ к содержимому переписки.
Защита данных DLP-системы
Поскольку DLP-система — сама по себе огромное хранилище конфиденциальной информации, существуют риски опасных действий с ней со стороны привилегированных пользователей (злоупотребление полномочиями специалиста по ИБ, сокрытие инцидентов, предоставление доступа непрофильным сотрудникам).
Для эффективной работы департамента ИБ необходимо распределить обязанности. Чтобы сотрудники видели только нужные им данные, руководителю ИБ требуется настроить роли и определить для них права доступа.
Для минимизации указанных рисков в InfoWatch Traffic Monitor 7.3 реализованы:
- расширенный аудит действий сотрудников ИБ — политик, запросов, событий, объектов защиты, элементов настройки технологий и периметров,
- разграничение прав доступа специалистов по ИБ для разделения полномочий и разграничение доступа к срезам событий,
- защита от подбора пароля согласно рекомендациям ФСТЭК России.
Подробный журнал аудита позволяет выявить все действия сотрудников ИБ.
Рисунок 9. Расширенный аудит действий сотрудников ИБ в InfoWatch Traffic Monitor 7.3
Кроме того, система разграничения доступа позволяет гранулярно настроить права доступа к ресурсам InfoWatch Traffic Monitor 7.3 для сотрудников ИБ.
Рисунок 10. Гранулярная настройка прав доступа к ресурсам InfoWatch Traffic Monitor 7.3 для сотрудников ИБ
Визуальная аналитика в InfoWatch Vision
Для предотвращения утечек InfoWatch Traffic Monitor 7.3 ежедневно собирает миллионы событий. InfoWatch Vision является Bl-системой для анализа этих данных.
InfoWatch Vision позволяет визуализировать карту коммуникаций компании, подразделений или отдельных персон, маршруты перемещения конкретных файлов или выбранных типов конфиденциальной информации, предоставлять сводную статистику по компании и моментально погружаться (drill-down) до подробностей событий, проводить расследования на основании неполных данных и т. д.
Рисунок 11. Панель мониторинга в InfoWatch Vision
Граф взаимосвязей визуализирует коммуникации сотрудников и информационные потоки. С помощью этого инструмента можно определить маршрут перемещения информации определённых категорий (например, персональных данных) и конкретных файлов, построить карту коммуникаций для групп сотрудников, выявить неочевидные связи и подозрительные взаимодействия.
Рисунок 12. Граф взаимосвязей в InfoWatch Vision
Цифровое досье накапливает информацию о сотруднике и автоматически пополняется данными о событиях DLP-системы с его участием; любую другую информацию можно вносить вручную.
Рисунок 13. Цифровое досье в InfoWatch Vision
С помощью фильтров можно найти любые события, перехваченные InfoWatch Traffic Monitor.
Рисунок 14. Список событий в InfoWatch Vision
Выбрав событие, можно увидеть его подробности в InfoWatch Traffic Мonitor.
Предиктивный анализ данных DLP-системы (UBA)
Предиктивная аналитика InfoWatch Prediction помогает заметить среди миллионов событий наиболее подозрительные. Инструмент выявляет паттерны потенциально опасного поведения сотрудника за счёт технологий машинного обучения и позволяет эффективно работать с группами риска.
В InfoWatch Prediction есть предустановленные группы риска: «Подготовка к увольнению», «Аномальный вывод информации», «Нетипичные внешние коммуникации», «Отклонение от бизнес-процессов», «Нелояльные сотрудники».
Система анализирует сотни параметров и сравнивает поведение каждого сотрудника с его же поведением в прошлом и ищет отклонения, т. е. не используется некое заранее прописанное вручную «эталонное» поведение сотрудника; это позволяет оценивать реальную, а не «сферическую» обстановку. Учитывается не только то, как работает сотрудник, но и то, как работают его коллеги; это позволяет снизить количество ложноположительных срабатываний.
Анализируются все перехваченные DLP-системой события по всем каналам (почта, мессенджеры, кейлогер, съёмные устройства, облачные хранилища и т. д.); это даёт возможность не пропустить важные события в цепочке. Учитываются не только происшествия, на которые сработали политики, но и события в «серой зоне», что позволяет существенно снизить зависимость от качества исходной настройки DLP-системы.
В итоге специалист по ИБ своевременно получает данные для принятия конкретных решений, а не абстрактную характеристику сотрудника.
Вначале анализируется совокупность данных из DLP-системы InfoWatch Traffic Monitor.
Рисунок 15. Анализ аномального поведения всех сотрудников компании в InfoWatch Prediction
Далее проводится анализ отдельных аномалий или их совокупности, а также последовательных цепочек связанных событий.
Рисунок 16. Анализ аномалий поведения конкретного сотрудника в InfoWatch Prediction
Подозрительное поведение сотрудника часто сигнализирует о готовящемся нарушении. Это может быть единичная аномалия, а может быть и целая цепочка неочевидных событий. Технологии машинного обучения позволяют анализировать и то и другое. Порознь события незаметны и неподозрительны. В совокупности — чёткая картина.
Затем осуществляется автоматическое формирование групп риска.
Прогнозирование рисков не сказывается на отделе ИБ дополнительной нагрузкой.
Выводы
InfoWatch Traffic Monitor 7.3 с помощью технологий искусственного интеллекта предотвращает утечку конфиденциальной информации, в автоматизированном режиме актуализирует политики безопасности и помогает прогнозировать риски в ИБ.
InfoWatch Traffic Monitor 7.3 учитывает тенденцию к переносу инфраструктур в облако и к дистанционной работе сотрудников в эпоху пандемии с использованием личных устройств, а также даёт возможность мониторинга коммуникаций сотрудников даже вне периметра компании. Это достигается при помощи интеграции продукта по API.
Новые перехватчики в InfoWatch Traffic Monitor нечувствительны к изменению проприетарных протоколов, способов шифрования и специфики передачи данных веб-сервиса. Реализованная возможность перехвата файлов добавляемых в архив позволяет предотвращать утечки на ранней стадии.
Интерактивный инструмент визуализации (InfoWatch Vision) отображает весь ландшафт коммуникаций в компании на графе, даёт возможность выявить подозрительные связи и отобразить движение информации между сотрудниками либо за периметр, помогает в расследованиях.
Кроме того, учитывая, что современный рынок DLP-систем движется в сторону анализа больших данных и старается эффективнее управлять рисками, наличие в экосистеме продуктов InfoWatch инструмента предиктивной аналитики (UBA), который тесно интегрируется с InfoWatch Traffic Monitor 7.3, позволяет последнему в автоматическом режиме предупреждать об аномальном поведении сотрудников.
Наличие технологий искусственного интеллекта повышает качество и скорость работы InfoWatch Traffic Monitor. Например, автоматическое обучение DLP-системы новым категориям документов и графическим объектам позволяют специалисту по ИБ сделать контентные фильтры самостоятельно, без привлечения лингвистов вендора, примерно за несколько минут.
Достоинства:
- Полностью российский продукт для защиты от утечек информации, работающий на отечественных Linux-системах.
- Наличие сертификата соответствия требованиям ФСТЭК России.
- Готовые базы контентной фильтрации, которые оптимизированы под потребности конкретных сегментов рынка.
- Интерактивный визуальный анализ данных.
- Универсальный перехватчик файлов, который нечувствителен к протоколу веб-сервиса.
- Автоматическое обучение DLP-системы новым категориям документов и изображений.
- Поддержка большого числа протоколов для перехвата и блокировки передачи данных.
- Широкие возможности интеграции со сторонними продуктами и сервисами (множество готовых кейсов по интеграции).
Недостатки:
- Отсутствие поддержки операционной системы macOS.