Сертификат AM Test Lab
Номер сертификата: 131
Дата выдачи: 22.05.2014
Срок действия: 22.05.2019
2. Системные требования Monitorium 2.0
3. Функциональные возможности Monitorium 2.0
4. Развертывание Monitorium 2.0
Введение
Ни для кого не является секретом тот факт, что сегодня большую часть российского рынка DLP занимает несколько систем. Все же остальные решения существенно отстают от лидеров по объемам продаж. Однако необходимо понимать, что доминирующие продукты не являются априори лучшими. Просто они появились раньше, еще тогда, когда рынок только формировался, и успели заработать себе известность и наработать солидную клиентскую базу. Ну а DLP-решениям, которые появились позже, гораздо сложнее "пробиваться", ведь им приходится отвоевывать себе свой кусочек рынка. И, раз у них это получается, значит им тоже есть, чем привлечь своего покупателя.
Одним из таких DLP-решений является система Monitorium, представленная компанией "Трафика". Появилась она относительно недавно – всего несколько лет назад. Тем не менее, активно развивается (в частности, недавно вышла вторая ее версия) и находит своего покупателя. В целом, Monitorium является классическим шлюзовым решением. Его главное предназначение – контроль сетевых каналов передачи информации с целью выявления и предотвращения утечек любой конфиденциальной информации. Однако у него есть возможности и по мониторингу локальных каналов, в частности, подключаемых к рабочим станциям накопителей и принтеров.
В основе работы Monitorium лежит технология Deep Packet Inspection, суть которой заключается в полном анализе сетевых IP-пакетов, что позволяет распознавать большое количество протоколов и, соответственно, контролировать большое количество сетевых приложений, которые могут передавать информацию. В правилах, определяющих признаки конфиденциальных данных, можно использовать разные параметры и технологии: семантическое ядро, словари, "цифровые отпечатки", тип файлов и пр.
Весьма важным отличием рассматриваемого сегодня продукта является простота внедрения и эксплуатации. Сами разработчики говорят об интерфейсе, рассчитанном "на менеджера". Мы же используем термин интуитивно понятный интерфейс. И действительно, для настройки правил, просмотра отчетов, управления пользователями и выполнения других операций не нужно обладать большим объемом специфических знаний и часами изучать руководство. Это делает Monitorium привлекательным, особенно, для малых и средних компаний.
Системные требования Monitorium 2.0
Системные требования к серверу Monitorium 2.0 в большой степени зависят от количества контролируемых рабочих станций и объема исходящего трафика, который они генерируют. Примерная таблица системных требований приведена ниже.
20 Гб/месяц (10 рабочих станций) | 50 Гб/месяц (20 рабочих станций) | 75 Гб/месяц (50 рабочих станций) | 100 Гб/месяц (100 рабочих станций) | |
Процессор | Intel Atom (D510) | AMD или Intel (2 ядра) | AMD или Intel (6 ядер) | AMD или Intel (8 ядер) |
Оперативная память | 4 Гб | 8 Гб | 16 Гб | 16 Гб |
Место на жестком диске | 250 Гб | 500 Гб | 1000 Гб | 1000 Гб |
Сетевые карты | 2 для работы в режиме блокировки и 1 для работы в режиме мониторинга | |||
Дополнительные требования | DVD-ROM для установки системы | |||
Операционная система | Требования отсутствуют (подробнее см. в разделе про развертывание системы) |
В качестве примера можно привести внедренное решение на 5000 пользователей со следующей конфигурацией аппаратных средств:
- сервер HP DL380 G7 X5660 2P 12GB-R P410i/1GB FBWC 8 SFF 750W RPS Perf IC Svr (P/n 583970-421) - 1 шт.;
- модули памяти HP 2GB (1x2GB) Dual Rank x8 PC3-10600 (DDR3-1333) Registered CAS-9 Memory Kit (p/n 500656-B21) - 6 шт.;
- жесткие диски HP 300GB 2.5"SAS 15K 6G DP ENT HDD (627117-B21) - 8 шт.
Функциональные возможности Monitorium 2.0
В Monitorium 2.0 реализованы следующие функциональные возможности.
Два режима работы
Monitorium 2.0 может функционировать в двух режимах: блокировки и мониторинга. В первом случае сервер работает по принципу прокси – принимает трафик с рабочих станций, обрабатывает его, блокирует нежелательный и отправляет остальной. В режиме мониторинга Monitorium 2.0 получает зеркалируемый со SPAN-порта маршрутизатора трафик, выявляет в нем нарушения и заносит информацию о них в свою базу.
Контроль сетевых каналов утечки информации
В рассматриваемом продукте реализована поддержка широкого спектра сетевых протоколов. Для некоторых из них возможна контентная фильтрация. Это HTTP, SMTP, IMAP4, FTP, SOCKS, POP3, IRC, XMPP (Jabber, GTalk), Oscar (ICQ и пр.). Другие протоколы система может детектировать и блокировать, но контентая фильтрация по ним невозможна. К ним относятся SSL/TLS, Skype , Teamviewer, ShoutCast, торренты, VNC, ssh2, веб-сокеты.
Отдельно можно отметить поддержку протоколов, использующих шифрование информации при передаче: HTTPS, SMTPS, ESMTP, IMAP4S, POP3S, IRC, XMPP (Jabber, GTalk), Mail.ru Агент. Причем, в режиме блокировки выполняется анализ трафика, передаваемого по этим протоколам.
Для использования в правилах все сетевые каналы объединены в группы, например, "HTTP-запросы", "Поисковые запросы", "Мессенджеры", "Почта" (через клиенты и веб-сервисы), "Социальные сети", "Форумы" и пр.
Контентная фильтрация анализируемого трафика
Monitorium 2.0 может анализировать передаваемую по поддерживаемым протоколам информацию (в том числе и в файлах разного формата, содержащих текст) по большому количеству параметров: ключевым словам (с поддержкой морфологии), текстовым шаблонам, словарям (по тематике документа), цифровым отпечаткам файлов, типу протокола, формату файла, имени хоста, наличию персональных данных.
Контроль локальных каналов передачи информации
Контроль локальных каналов осуществляется с помощью специального агента, устанавливаемого на рабочие станции сотрудников. С его помощью система может осуществлять мониторинг процессов копирования информации на любые съемные накопители, а также печати документов на локальных и сетевых принтерах. Агенты могут работать как в режиме слежения, так и в режиме блокировки.
Поддержка большого количества форматов файлов
Monitorium 2.0 "умеет" определять по внутренней структуре большое количество форматов файлов: текстовых, архивов, мультимедиа, изображения и т.п. Все нераспознанные форматы выносятся в специальную группу. Это можно использовать при составлении правил.
Также рассматриваемый продукт может извлекать файлы из архивов и анализировать их в соответствии с заданными в настройках правилами (поддерживаются архивы GZIP, BZIP2, TAR, ZIP, RAR, 7z).
Удобное и простое удаленное управление
Все управление системой осуществляется с помощью веб-интерфейса. Это позволяет администратору безопасности настраивать сервер непосредственно со своего рабочего места или вообще из любой точки земного шара (при соответствующей настройке доступа к серверу извне).
Сам интерфейс крайне прост в использовании, отличается логичностью организации и не требует долгого изучения.
Инструменты для работы с собранной базой информации
В Monitorium 2.0 реализованы достаточно удобные инструменты для работы с базой собранной информации: поиск и так называемые отчеты. Первый представляет собой традиционный поиск инцидентов по ключевым словам. Отчеты же является интерактивным инструментом для просмотра перечня нарушений и их подробной статистики. При этом данные могут отбираться по нужному периоду, пользователям, типам нарушений и многим другим параметрам.
Отчеты могут отправляться по электронной почте администратору безопасности, а также экспортироваться в большое количество разных форматов.
Интеграция с LDAP
В рассматриваемом продукте реализована возможность интеграции с LDAP-каталогом, например, с Active Directory домена Windows. Это позволяет системе загружать списки пользователей и автоматически поддерживать их в актуальном состоянии.
Фильтрация соединений
Интересной особенностью Monitorium 2.0 является возможность настройки разных действий для разных соединений. В зависимости от MAC-адреса, имени хоста, пользователя, подсети и порта подключения можно назначить приоритет обработки трафика, а также указать выполняемое действие (анализировать весь трафик, анализировать только незашифрованный трафик, пропускать трафик без анализа или блокировать трафик).
Развертывание Monitorium 2.0
Установка Monitorium 2.0 заметно отличается от инсталляции, пожалуй, любой другой программы. Дело в том, что в состав дистрибутива помимо самого продукта входит операционная система (одна из версий Unix). Кстати, именно поэтому в системных требованиях мы указали, что требования к операционной системе не предъявляются. Дистрибутив поставляется на загрузочном DVD-диске, а процесс установки у ОС и Monitorium 2.0 общий.
В таком решении есть несомненные плюсы. Во-первых, это простота развертывания продукта. Не нужно устанавливать операционную систему, обновлять ее, инсталлировать обновления, патчи, дополнительное ПО, необходимое для работы продукта, настраивать его взаимодействие друг с другом и выполнять большое количество других подготовительных действий. Во-вторых, устанавливая сразу весь комплекс, можно быть уверенным в полной корректности взаимодействия его частей и не заботиться о совместимости версий.
Правда, нельзя не отметить и недостаток такого объединения. В некоторых, особенно, в небольших компаниях DLP-решение не "занимает" целый сервер, а "соседствует" с другими системами. И это вполне оправдано. Анализ относительно небольшого потока трафика не может полностью загрузить доступные аппаратные мощности, часть из которых постоянно будет простаивать. Поэтому объединение на одном сервере нескольких разных систем вполне оправдано с экономической точки зрения. Решить эту проблему можно с помощью виртуализации. Достаточно установить разные системы на разные виртуальные машины.
Сам процесс установки мы рассматривать не будем. Как уже отмечалось выше, он достаточно прост. Однако в ходе него выполняется базовая настройка системы: выбирается режим работы (мониторинг или блокировка), настраиваются сетевые интерфейсы, указываются адреса DNS- и DHCP-серверов (при необходимости), выбирается доменное имя сервера, определяются границы локальной сети. Все эти этапы достаточно подробно описаны в документации, поэтому мы заострять на них внимание не будем.
Рисунок 1. Выбор режима работы Monitorium 2.0 в процессе установки
Дальнейшая настройка Monitorium 2.0 выполняется уже с помощью веб-интерфейса. Для входа в него достаточно запустить любой из поддерживаемых браузеров и открыть в нем адрес сервера, при этом отобразится страница авторизации администратора (в терминах системы администраторы называются операторами).
Рисунок 2. Страница авторизации оператора в веб-интерфейсе Monitorium 2.0
Веб-интерфейс состоит из ряда вкладок, в каждой из которых выполняется какой-то определенный набор функций. Для управления параметрами работы решения используется раздел "Настройки", который в свою очередь также состоит из целого набора вкладок.
Рисунок 3. Раздел "Настройки" веб-интерфейса Monitorium 2.0
В первую очередь необходимо настроить интеграцию с Active Directory домена Windows. Делать это, конечно, не обязательно. Но при пропуске данного шага всех пользователей в систему придется вносить вручную. Настройка интеграции осуществляется на вкладке "Домены Windows" (доменов может быть произвольное количество). Сначала необходимо загрузить прямо с веб-сервера Monitorium 2.0 специальную программу-агент, установить ее на контроллере домена и сгенерировать ключ авторизации. Это необходимо для создания защищенного канала связи между Monitorium 2.0 и Active Directory. Далее в специальном окне остается только ввести параметры домена, ключ агента и настроить доступ к нему.
Рисунок 4. Настройка интеграции Monitorium 2.0 с доменом Windows
Следующий этап – создание списка доверенных корневых сертификатов, которые будут использоваться для проверки сертификатов сайтов при обращении по SSL (протоколы HTTPS, POPS, GTalk и пр., использующие шифрование SSL). Это позволит DLP-системе "вклиниваться" между клиентом и сервером и подменять сертификат своим собственным, получая доступ к трафику, пересылаемому по использующему шифрование протоколу. В комплект поставки входит набор предустановленных основных корневых сертификатов. Однако при необходимости его можно дополнить.
Далее необходимо настроить интеграцию с внешними интерфейсами. Таким термином в рассматриваемом продукте названы модули для контроля локальных каналов передачи информации – накопителей и принтеров. Совместно с Monitorium 2.0 может использоваться система "Ланграф-С" или свой собственный агент. Интеграция с "Ланграф-С" осуществляется на межсерверном уровне, для этого требуется установить на сервер внешней системы специальный агент.
При использовании собственных агентов необходимо выбрать сетевой интерфейс сервера Monitorium 2.0, который будет использоваться для получения данных от них, и загрузить сформированный и настроенный дистрибутив. Потом этот дистрибутив может использоваться для инсталляции агентов вручную или с помощью групповых политик Active Directory.
Рисунок 5. Настройка работы Monitorium 2.0 с внешними интерфейсами
При необходимости можно настроить параметры автоматической доставки отчетов администратору безопасности по электронной почте. Сделать это можно на вкладке "Подписка на отчет". На ней необходимо указать параметры используемого SMTP-сервера (адрес, тип авторизации, данные авторизации и пр.) и адрес отправителя, а также настроить время и день отправки отчетов за сутки, за неделю и за месяц.
Рисунок 6. Настройка автоматической доставки отчетов по электронной почте в Monitorium 2.0
Следующим этапом первоначальной настройки является установка параметров блокировки (естественно, если Monitorium 2.0 используется не в режиме "Мониторинг"). На ней можно указать, какая блокировка будет использоваться в правилах по умолчанию: незаметная для пользователя (будет выдаваться одно из стандартных сообщений об ошибке) или заметная (с выдачей указанного администратором сообщения о заблокированном контенте). Для заметной блокировки здесь же можно ввести текст сообщения и выбрать действие, выполняемое для протоколов HTTP/HTTPS: перенаправлять пользователя на страницу с сообщением, перенаправлять на определенный адрес, показывать страницу с заданным HTML-кодом (например, таким образом можно отобразить в браузере клиента произвольную картинку).
Рисунок 7. Настройка параметров блокировки в Monitorium 2.0
Ну и, наконец, последний основной этап настройки – формирование списка операторов (именно так называются в рассматриваемой программе администраторы, то есть пользователи, имеющие доступ к веб-интерфейсу управления Monitorium 2.0). Для этого используется вкладка "Операторы". При создании администратора необходимо ввести его имя, адрес электронной почты и пароль, а также указать его роль в системе. Она определяет возможности и доступные оператору функции. В системе реализованы следующие роли:
- "Администратор" – имеет полные права, в том числе, может управлять списком операторов;
- "Аналитик" – может работать с базой собранной информации, просматривать отчеты, искать данные об инцидентах;
- "Редактор" – имеет все права "Аналитика", но дополнительно может управлять списком правил;
- "Технический специалист" – имеет права на выполнение только служебных операций и настройку самой системы, но имеет доступа к базе собранной информации, правилам и инцидентам.
Рисунок 8. Управление операторами в Monitorium 2.0
Дополнительно можно настроить фильтрацию соединений. С помощью данного инструмента можно исключить тот или иной трафик из проверки или вообще заблокировать его. Для фильтра можно задавать условия с использованием MAC-адреса или хоста клиента, пользователя, подсети и порта. Таким образом, можно, к примеру, заблокировать весь POP3-трафик для определенных сотрудников или целых отделов (на основе подсети), исключить из проверки трафик для руководителей или отдельных приложений (по порту) и пр.
Рисунок 9. Управление фильтрацией соединений Monitorium 2.0
Работа с Monitorium 2.0
Регулярная работа с Monitorium 2.0 осуществляется с помощью уже знакомого нам веб-интерфейса. С его помощью выполняются все доступные оператору в соответствии с его ролью (см. выше) функции. Сегодня мы разберем три основных набора возможностей рассматриваемого продукта:
- управление пользователями;
- управление правилами;
- работа с собранной информацией.
Все управление пользователями осуществляется на вкладке "Пользователи" раздела "Настройка". Если была настроена синхронизация с LDAP-каталогом, то список обновляется автоматически. В противном случае учетные записи для всех сотрудников необходимо создать вручную. При добавлении учетной записи помимо ее имени необходимо выбрать тип авторизации. В рассматриваемой программе доступны такие варианты, как авторизация по Windows-логину (при интеграции с LDAP), хосту, IP- или MAC-адресу.
Рисунок 10. Управление пользователями в Monitorium 2.0
Для работы с правилами предназначен одноименный раздел веб-интерфейса. Правила могут объединяться в наборы, что весьма удобно. Причем сразу после установки в Monitorium 2.0 создается несколько готовых наборов, решающих наиболее распространенные задачи. Их можно использовать как есть или же в качестве основы для формирования собственной политики.
Рисунок 11. Список правил в Monitorium 2.0
Для каждого набор правил помимо названия можно задавать уровень опасности (от низкого до высокого) и права доступа операторов. Для аналитиков можно устанавливать только право на чтение. При этом им будет разрешено просматривать само правило, а также все его нарушения со стороны пользователей. Редакторам можно давать доступ как на чтение, так и на редактирование (отдельно самого набора и входящих в него правил).
Рисунок 12. Набор правил в Monitorium 2.0
Новые правила создаются только в рамках наборов с помощью специального пошагового мастера. На первом этапе нужно выбрать его тип из списка возможных:
- "Словарь" – для правил, срабатывающих при наличии в тексте слов на определенную тематику;
- "Формат файл" – правила, работающие с форматами файлов;
- "Необрабатываемые протоколы" – правила для работы с протоколами, извлекать из которых данные система не может;
- "Персональные данные" – правила, детектирующие наличие в тексте заданных персональных данных;
- "Охрана документов" – правила для работы с цифровыми отпечатками документов;
- "Имя хоста" – правила, срабатывающие при наличии в адресе заданных хостов (например, доменных адресов сайтов);
- "Фраза" – правила для описка определенных слов или фраз с учетом морфологии.
Рисунок 13. Выбор типа при создании правила в Monitorium 2.0
После выбора типа правила задается условие его срабатывания (зависит от типа правила).
Рисунок 14. Пример условия срабатывания правила в Monitorium 2.0
Далее выбирается область действия правила – каналы, на которые оно распространяется. Это могут быть мессенджеры, почта, отправка файлов через веб-сервисы, социальные сети, форумы, внешние источники (локальные каналы) и пр. Также указывается действие, выполняемое при срабатывании правила – мониторинг (запись информации об инциденте в базу программы) или блокировка (помимо записи информации передача данных блокируется) в выбранном режиме (заметная или незаметная).
Рисунок 15. Каналы и действия правила в Monitorium 2.0
Следующий шаг – указание пользователей, для которых будет действовать данное правило. Можно выбрать все или только конкретные учетные записи. Здесь нужно отметить один важный недостаток рассматриваемого продукта. Оказывается, групп пользователей в Monitorium 2.0 нет. Что, конечно, довольно странно. Наличие групп позволяет быстро настраивать политики безопасности для больших отделов и целых категорий сотрудников. Ручной же выбор отдельных учетных записей в правилах, во-первых, может оказаться трудоемкой задачей, а во-вторых, увеличивает риск ошибок операторов при настройке.
Рисунок 16. Выбор пользователей, к которым будет применяться правило в Monitorium 2.0
На последнем этапе мастера можно протестировать правило – ввести текст или загрузить произвольный файл и проверить, сработает оно или нет.
После создания правила оно сразу начинает работать, а система блокировать (если настроена блокировка) передачу соответствующих данных и собирать о них информацию.
Управлять работой правил можно как по отдельности, так и целыми наборами. В частности, в интерфейсе есть кнопки для включения/выключения правил, перевода их из режима мониторинга в режим блокировки и обратно, включение и отключение уведомления операторов о нарушениях (по каждому правилу отдельно или для набора в целом) и пр.
Для аналитиков, работающих с собираемой DLP-системой информацией, в Monitorium 2.0 предусмотрено два основных инструмента. Первый из них – отчеты. Хотя называть их просто отчетами не совсем корректно. Дело в том, что под этим термином в рассматриваемой программе скрывается интерактивный инструмент, с помощью которого можно очень просто просмотреть информацию об инцидентах практически в любом разрезе. Причем как в графической, так и табличной форме с фильтрацией по разным полям. В любой момент данные можно экспортировать в один из достаточно большого количества поддерживаемых форматов.
Рисунок 17. Вкладка "Отчеты" веб-интерфейса Monitorium 2.0
Второй инструмент - поиск инцидентов. Работает он очень просто. Достаточно ввести в поисковую строку слово, фразу или поисковую формулу (слово или фразу со специальными символами замены) и подождать результат. Система осуществляет поиск по имени нарушителя, содержимому текста и/или файла с нарушениями. Дополнительно можно ограничивать область поиска определенным периодом или фильтрами, заданными в отчете. Результаты выводятся в виде таблицы.
Рисунок 18. Поиск инцидентов в веб-интерфейсе Monitorium 2.0
При необходимости оператор может просмотреть подробную информацию по любому найденному инциденту, включая перехваченный текст сообщения и/или содержимое переданного файла.
Рисунок 19. Подробный просмотр инцидента в веб-интерфейсе Monitorium 2.0
В целом, описанные выше инструменты весьма удобны и достаточно информативны. Единственное, чего, пожалуй, не хватает – возможности анализа контактов сотрудников. Подобные инструменты в последнее время появляются во всех ведущих DLP-решениях. С их помощью можно наглядно представить себе круг общения пользователей вне зависимости от используемых каналов (ICQ, почта, Skype и т.п.), выявить потенциально опасные внешние связи.
Выводы
Несмотря на свою относительную "молодость", продукт Monitorium 2.0 производит очень неплохое впечатление. Широкий спектр контролируемых каналов, поддержка большого количества форматов файлов, морфология, цифровые отпечатки и другие функции дают администраторам безопасности неплохие возможности для контроля сетевых каналов утечки конфиденциальной информации. Отдельного же упоминания заслуживает контроль персональных данных. В комплект поставки входит набор готовых шаблонов для их определения (в интерфейсе администратор просто выбирает: паспортные данные, номер пластиковой карты и пр.), а в правилах можно указывать допустимое их количество (например, правило не будет срабатывать при передаче одного комплекта паспортных данных). Также нельзя не отметить и наличие модуля для контроля съемных накопителей и принтеров, пусть даже, и без возможности блокировки.
Отдельного упоминания заслуживает интерфейс рассмотренной DLP-системы. Как ни крути, а он, пожалуй, является одним из самых простых и удобных на сегодняшний день. На его освоение не придется тратить много времени. Да и документация (к слову, вполне подробная) будет нужна только раз от разу для выяснения некоторых нюансов. В остальном веб-интерфейс осваивается буквально за минуты. Но и это еще не все.
Также можно вспомнить и интересное решение по поставке и развертыванию Monitorium 2.0, когда в состав дистрибутива входит все необходимое для сервера, включая операционную систему.
Конечно же, не обошлось и без недостатков. Наиболее серьезными из них являются отсутствие групп пользователей и отсутствие функции анализа контактов сотрудников. Все это может осложнять использование Monitorium 2.0, особенно в крупных и некоторых средних компаниях с очень развитой сетевой инфраструктурой. Для малого же бизнеса и многих средних компаний Monitorium 2.0, благодаря своей простоте развертывания и удобству эксплуатации, может оказаться настоящей находкой.
Достоинства
- Широкий спектр контролируемых каналов.
- Большое количество поддерживаемых типов файлов.
- Большое количество условий при создании правил.
- Готовые шаблоны для детектирования персональных данных с возможность настройки допустимого их количества в сообщении.
- Простое развертывание системы.
- Очень удобный и интуитивно понятный даже для неспециалиста интерфейс.
- Встроенная помощь и удаленная техническая поддержка прямо из интерфейса системы.
- Наличие фильтрации соединений.
Недостатки
- Отсутствие возможности контентного анализа и/или записи информации, передаваемой через Skype.
- Отсутствие групп пользователей.
- Отсутствие возможности анализа контактов сотрудников.