Обзор InfoWatch EndPoint Security Insight Edition 10.1

1. Введение

2. Модуль Insight

3. Mobile Device Management

4. Другие обновления

5. Системные требования

6. Выводы

Введение

InfoWatch EndPoint Security — многофункциональный продукт для малого и среднего бизнеса, работающий на уровне конечных точек сети. Обзор одной из прошлых версий уже был опубликован на нашем сайте.

Новая версия предлагает «умный подход» к безопасности: сначала решение с помощью модуля Insight определяет слабые места как на уровне бизнес-процессов, так и на уровне инфраструктуры. Затем на основании реальной картины проблем, существующих в конкретной организации, InfoWatch EndPoint Security Insight Edition предлагает инструменты, которые необходимы для защиты именно этой компании. Эти инструменты позволяют не только повысить уровень информационной безопасности, но и сократить финансовые издержки.

Основным нововведением InfoWatch EndPoint Security Insight Edition является то, что решение теперь позволяет создавать картину рабочей активности персонала, анализировать ее с точки зрения информационной безопасности и кадровых рисков, после чего сфокусированно защищать те части инфраструктуры и бизнес-процессов, которые были признаны наиболее популярными и уязвимыми. Другими словами, продукт позволяет не только защищать конфиденциальные данные на рабочих станциях и мобильных устройствах, как это было в предыдущих версиях, но и проводить аудит поведения сотрудников, а также отслеживать использование ими инфраструктуры компании.

В любой организации находятся сотрудники, использующие слишком много рабочего времени не по назначению — для отдыха или решения личных проблем. Не всегда это является головной болью для работодателя, но, тем не менее, контроль работы персонала — важная часть работы специалистов по кадрам, и в этом может помочь новая версия InfoWatch EndPoint Security Insight Edition. Предыдущие версии продукта обеспечивали возможность точечного исследования эффективности, в новой версии благодаря модулю Insight появился инструмент общего анализа эффективности всех сотрудников в организации.

Заметно, что практически каждая функция InfoWatch EndPoint Security Insight Edition так или иначе направлена на экономию денежных средств компании: сокращение кадровых рисков и рисков утечки конфиденциальной информации, которые могут повлечь за собой финансовый ущерб, энергосбережение с модулем Green IT, оптимизация закупок лицензий на корпоративное ПО и пр.

Модуль Insight

Остановимся чуть подробнее на модуле Insight. Как уже говорилось выше, данный модуль является агрегатором событий с рабочих станций сотрудников. Решение объединяет полученные данные и на их основе формирует статистику по различным критериям, позволяя изменять их динамически. На базе отчетов, полученных с помощью Insight, руководители бизнес-подразделений могут увидеть реальную картину рабочего дня сотрудников и проводить грамотную кадровую политику. Руководителям ИТ-службы модуль Insight помогает отслеживать использование инфраструктуры компании, а также создавать или корректировать политики информационной безопасности.

Рисунок 1. Схематический принцип работы модуля Insight

В настройках модуля можно указать следующий перечень событий:

• работа со съемными накопителями;
• доступ и работа с сетевыми каталогами (в том числе с каталогами облачных хранилищ);
• работа в интернете;
• запуск приложений;
• использование приложений.

Дополнительно модуль показывает попытки нарушения ранее установленных политик безопасности.

Рисунок 2. Настройки модуляInsight в InfoWatch EndPoint Security 10.1

Для каждого типа событий строятся собственные графы: для работы со съемными накопителями, к примеру, отображается семь графиков — частота работы с накопителями по пользователям, график классов устройств, разделение по типам доступа (чтение, запись), категории файлов (по расширениям и метаданным), категории накопителей, графики доступа к данным по часам и дням недели. Отображаемую информацию можно фильтровать по времени, источникам и отдельным параметрам.

Рисунок 3. Внешний вид модуля Insight в InfoWatch EndPoint Security 10.1

Режим Insight поддерживает возможность периодического автоматического построения отчетов с графиками по заданным параметрам, сохранение их в выделенный каталог и отправку готовых данных по электронной почте.

Рисунок 4. Настройка периодического автоматического создания отчетов в модуле Insight в InfoWatch EndPoint Security 10.1

Режим Insight органично дополняет работу с отчетами, позволяя не только получить информацию по конкретному срезу событий, но и ознакомиться с системой в целом, изучить общую картину, чтобы уже в дальнейшем при необходимости погружаться в детали по отдельным параметрам. Именно поэтому компания InfoWatch предлагает начинать знакомство с продуктом именно с этого модуля.

Mobile Device Management

Еще один новый компонент, который был добавлен в последней версии InfoWatch EndPoint Security Insight Edition, — Mobile Device Management, система централизованного управления безопасностью мобильных устройств. MDM в составе обновленного продукта InfoWatch EndPoint Security Insight Edition обладает следующими функциональными возможностями:

• генерация приложений для мобильных телефонов из общей консоли продукта с возможностью отправки приложения по e-mail;
• поддержка Android версий 4.х и старше, поддержка iOS (iPhone);
• централизованное управление общими политиками безопасности мобильных устройств;
• контроль запуска приложений, поддержка белого и черного списков приложений;
• шифрование всей информации на мобильном устройстве с использованием встроенных функций шифрования;
• поиск местоположения мобильного устройства в реальном времени;
• удаленная очистка устройств — дистанционное удаление конфиденциальных данных в случае утери или кражи девайса;
• контроль микрофона и камеры.

Как и обычные защитные механизмы, все компоненты MDM могут быть включены или выключены по отдельности. Лицензирование MDM осуществляется целиком, без деления на компоненты.

Использование MDM подразумевает создание прямой связи между мобильными устройствами и MDM-сервером, поэтому MDM-серверу необходимо обеспечить прямой доступ в интернет.

Рисунок 5. Настройка политик работы с мобильными устройствами в InfoWatch EndPoint Security

Доступна для настройки политика по умолчанию или отдельные параметры для каждого конкретного сотрудника и устройства.

Рисунок 6. Внешний вид Android-приложения InfoWatch EndPoint Security 10.1 для контроля мобильного устройства

Другие обновления

В продукте следует отметить и множество других изменений:

• Расширен раздел «Настройки пользователей», в котором выставляются точечные блокировки — возможность запретить скачивание файлов в браузерах, передачу файлов через Skype и использование буфера обмена, а также возможность контролировать подключение дополнительных клавиатур.

Рисунок 7. Новый раздел «Настройки пользователей» в InfoWatch EndPoint Security 10.1

• Реализован автоматический аудит запускаемых в рабочее время приложений и формирование картины рабочего дня персонала с поддержкой просмотра запускаемых приложений в режиме реального времени.
• Ролевая модель назначения приложений изменена на дискреционную — администратор предопределяет группы приложений и в дальнейшем назначает их пользователям. В предыдущей версии приложения объединялись в роли по выполняемым функциям, и предоставление доступа не всегда было очевидным.
• Добавлена поддержка категоризации приложений, веб-сайтов, внешних накопителей и файлов. Категории назначаются администратором из редактируемого списка. В дальнейшем по категориям можно строить отчеты по времени использования и более подробно рассматривать эффективность выполнения рабочих обязанностей сотрудниками, не устанавливая при этом жесткий контроль по запуску приложений.

Рисунок 8. Обновленный контроль приложений в InfoWatch EndPoint Security 10.1

• Добавлена поддержка распределенной схемы работы для обеспечения внедрений в сложных филиальных инфраструктурах. В рамках данного обновления добавлены функции по управлению серверами InfoWatch EndPoint Security Insight Edition из общей консоли. При этом все сервера должны быть подключены к одной логической базе данных, а репликация между серверами баз данных настраивается с помощью стандартных средств MSSQL или MySQL. С внедрением управления серверами безопасности в продукте появилась возможность выбирать сервера управления для существующих или устанавливаемых агентов. Таким образом, продукт обрел возможность масштабирования и разнесения серверов InfoWatch EndPoint Security Insight Edition по разным инфраструктурным сегментам.
• Обновлены генерируемые в программе отчеты — изменилось качество и количество доступных отчетов, добавлена детализация для отдельных параметров и настроек, проведен ряд улучшений для повышения удобства и доступности различных отчетов.

В остальном продукт не изменился, основная функциональность модулей защиты включает в себя отслеживание доступа к устройствам, облачным хранилищам, сетевым интерфейсам, управление перечнем разрешенных к запуску программ и контролем энергосбережения. Подробное описание данных компонентов приводится в нашем предыдущем обзоре.

Установка версии 10.1 поверх предыдущих версий происходит незаметно — инсталлятор автоматически учитывает все сделанные настройки и не запрашивает данные повторно. После установки обновленного продукта все созданные политики, настройки и информация об агентах также сохраняются. В интерфейсе установки реализованы функции по применению обновлений на защищаемые компьютеры. Дополнительно стоит отметить, что установка проходит без перезагрузки как для серверных компонентов, так и для клиентских.

Системные требования

Системные требования InfoWatch EndPoint Security 10.1 значительно изменились с предыдущей обозреваемой версии, в продукте реализована поддержка новейших операционных систем и СУБД.

InfoWatch EndPoint Security Insight Edition по-прежнему является клиент-серверным продуктом. Сервер поддерживает установку как на операционные системы Windows Server 2003, 2008 и 2012, так и на клиентские Windows 7, 8, 10. В качестве СУБД может использоваться MySQL 5.0 и выше с ODBC-коннектором или MS SQL Server 2000SP3a, 2005, 2008, 2012 и 2016 (включая бесплатные версии Express Edition). Агент защиты, устанавливаемый на клиентские компьютеры, поддерживает работу на Windows XP, Vista, 7, 8 и 10.

С добавлением модуля Mobile Device Management появились новые компоненты архитектуры InfoWatch EndPoint Security Insight Edition — мобильные защитные клиенты, которые поддерживают функционирование в операционных системах iOS и Android версии 4.х и старше.

В качестве LDAP-каталога для интеграции базы пользователей и компьютеров поддерживаются Active Directory и Novell eDirectory версии 4.91 SP2 и старше. Поддерживается возможность работы продукта без интеграции с каталогом.

Требования к аппаратному обеспечению разработчик не предъявляет, таким образом, они соответствуют минимальным требованиям соответствующих операционных систем.

Выводы

InfoWatch EndPoint Security активно развивается, дополняя продукт новыми компонентами для защиты и расширения возможностей аудита. Для этого в продукте InfoWatch EndPoint Security добавлен модуль Insight, позволяющий анализировать большие объемы собираемой агентами информации.

Insight обрабатывает события аудита продукта и производит корреляцию по ряду параметров, выдавая информацию о работе пользователей. Результаты анализа Insight отображает в виде графиков и диаграмм, автоматически сформированных по критериям, зависящим от выбранной области аудита. Изучив полученную статистическую информацию, руководители, владельцы бизнеса и отдел кадров смогут понять ситуацию с эффективностью выполнения сотрудниками служебных обязанностей. Insight строит информацию по компании в целом, по отдельным подразделениям или единичным сотрудникам. Полученные данные можно конкретизировать с помощью подробных журналов аудита и простых отчетов и уже на основании полученной информации проводить организационную и административную работу с персоналом.

Защитные механизмы InfoWatch EndPoint Security 10.1 дополнены новыми функциями в соответствии с изменяющимися векторами атак. Повышенный риск, связанный с возросшей распространенностью мобильных устройств и потерей информации при их утрате или краже, InfoWatch предлагает нивелировать с помощью модуля Mobile Device Management, поддерживающего установку агентов на устройства с операционными системами iOS и Android. Данный модуль позволяет обеспечить защиту конфиденциальной информации на мобильных устройствах при помощи шифрования, а в случае кражи или утери устройства можно не только удалить с него данные, но и попытаться вернуть телефон с помощью удаленного определения местоположения.

Кроме защиты от утери мобильных устройств, InfoWatch EndPoint Security предлагает механизмы их контроля и обеспечения конфиденциальности. В число таких функций входит возможность ограничить список разрешенных к запуску приложений, управление парольной политикой девайсов, а также защита от несанкционированной аудио- и видеозаписи путем контроля камер и микрофонов.

Достоинства:

• Детализированный аудит поведения персонала и использования инфраструктуры компании (периферия, приложения, локальная сеть, интернет).
• Поддержка широкого спектра оборудования, включая возможность создания белых списков типов устройств, их конкретных экземпляров и носителей информации (CD/DVD).
• Подробное протоколирование действий пользователей и администраторов, а также теневое копирование передаваемых данных.
• Прозрачное шифрование информации, копируемой на внешние носители, причем как условное, так и принудительное.
• Защита мобильных устройств на базе iOS и Android, включая шифрование данных, контроль запуска приложений и определение местоположения устройства и т. д.
• Управление передачей файлов через интернет, включая обычную загрузку с помощью браузера, пересылку по Skype, использование облачных хранилищ; ограничение доступа пользователей к файлам по их типу, наименованию и размеру.
• Дополнительные возможности контроля приложений, гарантированного уничтожения данных без возможности восстановления, управление электропитанием, доступом к Wi-Fi-сетям и пр.
• Легкое обновление версии продукта, установка, не требующая перезагрузки и прерывания сеанса работы пользователя.
• Опциональная возможность интеграции с контроллером доменов, поддержка eDirectory наравне с Active Directory.
• Полная локализация продукта и документации.
• Преемственность интерфейса.
• Покомпонентное лицензирование.

Недостатки:

• Отсутствие возможностей по контролю работы с локальными файлами и каталогами. Отсутствие шифрования по ГОСТ-алгоритмам или возможности подключения внешних криптопровайдеров.
• Отсутствие поддержки операционных систем MacOS для компьютеров и Windows Phone.