Совсем недавно компания SecurIT выпустила новую версию программы Zgate 3.0, предназначенной для защиты от утечек конфиденциальных данных по сетевым каналам. Вслед за ней был обновлен и другой продукт компании — Zlock. Он представляет собой вторую часть комплексного DLP-решения SecurIT, и используется для защиты от утечек данных через различные внешние устройства. Сегодня мы подробно рассмотрим, какие возможности появились в Zlock 4.0 и чем эта версия лучше своего предшественника.
2. Системные требования Zlock 4.0
Введение
Важным элементом полноценного DLP-решения является система предотвращения утечек конфиденциальной информации через съемные накопители, принтеры и другие устройства, подключаемые к рабочим станциям сотрудников напрямую или посредством локальной сети. Именно таким продуктом и является Zlock. Совместно с другой системой, Zgate, он составляет полнофункциональное DLP-решение, позволяющее контролировать все возможные каналы утечки данных за пределы корпоративной информационной системы (ИС). Zlock появился в 2005 году, и за это время стал одним из лидеров российского рынка.
Традиционная защита от утечек конфиденциальной информации оперирует такими понятиями, как тип аппаратного обеспечения, его параметры и интерфейс подключения. В зависимости от них и заданных политик безопасности доступ к подключаемому к компьютеру устройству может открываться, блокироваться или открываться только для чтения. Главным и весьма серьезным недостатком такого подхода является недостаточная гибкость.
Дело в том, что запретить полностью использование съемных накопителей и принтеров в большинстве случаев не получается. Распечатка документов и копирование их в электронном виде на USB-диски может требоваться для выполнения сотрудниками своих непосредственных функциональных обязанностей. При этом у них появляется потенциальная возможность для похищения конфиденциальной информации. Единственное, что может предложить большинство DLP-решений в такой ситуации — теневое копирование, при котором все распечатываемые или переносящиеся на съемные накопители файлы автоматически резервируются в специальном хранилище. И, в будущем, ответственный сотрудник может просмотреть, кто и что выносил за пределы ИС предприятия. Это частично решает проблему несанкционированного доступа к конфиденциальной информации. Однако и это не выход при больших объемах копирования или печати. Ведь виновником утечки может стать сотрудник, имеющий легальный доступ к данным. Просматривать десятки или даже сотни документов в день и разбираться, имел право сотрудник выполнять с ними произведенные действия или нет, физически не представляется возможным.
Самым главным нововведением Zlock 4.0 является возможность использовать в политиках доступа не только параметры подключаемых устройств, но и их содержимое (контентная фильтрация) Возможность регулировки прав доступа к устройствам "налету", в зависимости от типа и содержимого файлов, придает системе защиты необходимую гибкость, которая, с одной стороны учитывает потребности бизнеса, а с другой, обеспечивает действительно высокую степень безопасности.
Системные требования Zlock 4.0
Системные требования Zlock 4.0, по сравнению с третьей версией, практически не изменились. Подробный состав программно-аппаратных средств приведен в таблице.
Аппаратные и программные средства | Клиентский модуль | Сервер журналов | Консоль управления | Сервер конфигураций |
Процессор | Pentium III и выше | |||
Оперативная память | 256 Мб и выше |
|||
Порты | Свободный USB-порт (для лицен-зионного ключа) | |||
Операционная система | Microsoft Windows XP SP2 (32бита)/ 2003 SP1 (32 и 64 бит)/ Vista (32 и 64 бит), 2008/Windows 7 (32 и 64 бит) / Windows Server 2008 R2 |
|||
Прочие программные средства | Желательно Microsoft SQL Server 2000 SP2, 2005 или Oracle Database 10g Release 2 (10.2) Microsoft Windows (32-Bit) |
Новые возможности Zlock 4.0
Как уже упоминалось выше, основным отличием Zlock 4.0 от предыдущей версии является увеличение гибкости системы защиты за счет применения контентной фильтрации. И практически все новые возможности продукта связаны именно с этим инструментом.
Контроль чтения и записи на USB-устройства по типу файлов
Zlock 4.0 позволяет создавать политики, которые открывают или закрывают доступ на чтение или запись информации на USB-накопитель в зависимости от типа файла. Это позволяет очень тонко настроить систему защиты. Например, можно запретить чтение исполняемых файлов и запись любых документов, разрешив выполнение действий с другими объектами. Стоит отметить, что тип файла определяется по сигнатурам, так что смена расширения не поможет злоумышленникам обмануть систему.
Контроль печати документов, их чтения и записи на USB-устройства по содержимому
Одним из самых значимых нововведений в Zlock 4.0 является возможность создания политик, которые работают в зависимости от содержимого файлов. С их помощью можно контролировать печать документов, а также их чтение и запись на различные USB-накопители. При этом используется полноценный контентный анализ (используются такие технологии, как морфологический анализ, стемминг, анализ по словарю и шаблонам, проверка транслита), по результатам которого выполнение тех или иных действий разрешается или блокируется. Кроме того, Zlock 4.0 может проверять файлы, находящиеся в архивах ZIP, RAR, 7z и ZIPX. Запароленные архивы не проверяются, файлы этого типа система относит к категории зашифрованных. При этом они обрабатываются в соответствии с заданными администратором правилами (возможно блокирование передачи, теневое копирование и пр.)
Различные действия по итогам политик контроля файлов
Политики контроля файлов по типу или содержимому позволяют не только разрешить или запретить печать документа и его чтение или запись. С их помощью можно включать или отключать журналирование данной операции, а также теневое копирование.
Поиск теневых копий на сервере журналов по содержимому
На сервере журналов может собираться огромное количество различных документов. Найти среди них нарушающие конфиденциальность вручную оказывается практически невозможным. В этом случае может помочь появившийся в Zlock 4.0 поиск по содержимому. С его помощью можно быстро найти нужные документы и понять, выносились ли они за пределы ИС предприятия.
Морфологический анализ
В политиках контроля файлов по содержимому может использоваться морфологический анализ. Он позволяет достаточно точно находить в документах различные словоформы заданного слова. Морфологический анализ является одним из способов определения попыток передачи конфиденциальной информации в нарушение политики корпоративной безопасности.
Стемминг
Стемминг является еще одной технологией нахождения различных форм указанного слова в анализируемом документе. В ней используется специальный алгоритм обработки окончаний. В отличие от морфологического анализа стемминг выполняется без словаря, что позволяет ему работать более быстро и эффективно, но при этом возрастает риск ложных срабатываний.
Поддержка транслита
Zlock 4.0 может находить заданные слова даже в том случае, если они написаны транслитом. В ходе проверки учитываются все варианты написания, что делает систему весьма эффективной. Кроме того, администратор при необходимости может изменить правила транслитерации.
Анализ текста по словарю
Данный вид анализа — еще один способ обработки текстов по содержимому. В его основе лежат использование словарей. Они представляют собой наборы терминов, относящихся к определенной области. В ходе анализа проверяется наличие слов по одному или нескольким словарям. На основе данного анализа делается заключение о том, к какой категории относится обрабатываемый документ.
Анализ текста по шаблонам на основе регулярных выражений
Использование технологии регулярных выражений и спецсимволов позволяет с высокой степенью эффективности определить попытки передачи формализованной информации. Это предотвращает утечку паспортных данных, телефонов, банковской информации и т.п. Анализ текста по шаблонам особенно актуален для защиты персональных данных
Работа с Zlock 4.0
По архитектуре Zlock 4.0 ничем не отличается от предыдущей версии. Он также состоит из четырех модулей:
- общая для всех продуктов SecurIT консоль управления. В Zlock 4.0 её актуальная версия 1.5 (в Zlock 3.0 использовалась консоль версии 1.4);
- клиентский модуль, который инсталлируется на рабочие станции и непосредственно осуществляет контроль прав доступа в соответствии с заданными политиками;
- сервер журналов, использующийся для сбора и обработки статистической информации;
- сервер конфигураций, который применяется для управления политиками доступа и их распространения.
Процедуры установки и развертывания системы остались без изменений. Они могут быть произведены как с помощью указанной выше консоли управления, так и с применением групповых политик Windows. Впрочем, все это, равно как создание и распространение политик доступа к устройствам, было уже рассмотрено ранее (http://anti-malware.ru/reviews/securit_zlock). И, поэтому, останавливаться на этих моментах уже не имеет смысла. Рассмотрим только использование новых возможностей, впервые появившихся в Zlock 4.0.
В консоли управления в разделе управления Zlock 4.0, помимо политик доступа к устройству, появился еще один раздел — файловые политики. Именно в нем осуществляется настройка контентной фильтрации. Файловых политик можно создавать произвольное количество. Порядок их применения определяется приоритетом выполнения.
Рисунок 1. Список файловых политик в консоли управления Zlock 4.0
Файловые политики создаются следующим образом. Необходимо открыть консоль управления и подключиться к Zlock. Далее нужно нажать кнопку "Добавить" и выбрать в выпадающем списке пункт "Политика контроля файлов...". При этом будет открыто окно свойств политики. На первой его вкладке устанавливаются основные параметры: название, приоритет выполнения, а также пользователи, для которых данная политика будет действовать (для всех пользователей, только для указанных или для всех, кроме указанных).
Рисунок 2. Основные параметры файловой политики Zlock 4.0
Далее необходимо задать условия выполнения политики. Сделать это можно на вкладке "Файлы". Перейдите на нее и установите тип политики: контроль по типу файлов или по их содержимому.
Рисунок 3. Выбор типа файловой политики в Zlock 4.0
При выборе контроля по типу файлов необходимо указать форматы, на которые будет распространяться действие политики. Выбирать их можно как поодиночке, так и целыми группами.
Рисунок 4. Выбор форматов файлов в Zlock 4.0
Если выбран тип "Контроль по содержимому", то необходимо задать условия, при выполнении которых будет действовать политика. Их в списке может быть несколько.
Рисунок 5. Список условий файловой политики в Zlock 4.0
Для создания нового условия нажмите на кнопку "+". В открывшемся окне выберите его тип. Здесь доступно три варианта: поиск определенного текста, анализ по шаблону или по словарю. Первый из них делает заключение о принадлежности документа к числу конфиденциальных по наличию в них определенных слов или фраз. При этом администратор должен указать не только искомый текст, но и выбрать метод анализа.
- Искать текст. Поиск вхождения указанной строки в неизмененном виде. Работает максимально быстро и с минимально возможными ложными срабатываниями, но не может определять различные формы исходных слов.
- Использовать обработку окончаний. Применение к тексту технологии стемминга, которая основана на обработке окончаний слов. Работает немного медленнее прямого поиска, позволяет искать различные словоформы, но обладает относительно высоким процентом ложных срабатываний.
- Использовать морфологию. Обработка текста с помощью морфологического анализа. Позволяет искать различные словоформы и обладает низким процентом ложных срабатываний, но при этом выполняется относительно медленно.
- Проверять с учетом транслитерации. Поиск заданных слов или фраз, написанных в анализируемом тексте транслитом. Проверяются все возможные написания.
- Использовать подстановочные символы. Позволяет применять при поиске спецсимволы. Так, например, "*" может означать любое количество букв и цифр, "?" — одну букву или цифру и т.д.
Дополнительном можно указать такие параметры, как учет регистра, а также максимально возможное расстояние между словами (если в строке поиска задано несколько слов).
Рисунок 6. Настройка поиска текста в Zlock 4.0
Второй тип условий — проверка на соответствие шаблону. С его помощью можно находить в тексте заданные регулярные выражения. Устанавливается подобное условие с помощью выпадающего списка, в котором перечислены все заданные в системе шаблоны. Сразу после установки Zlock 4.0 пользователю доступен целый набор предустановленных шаблонов на основе наиболее распространенных выражений.
Рисунок 7. Настройка анализа по шаблону в Zlock 4.0
Если среди предустановленных шаблонов отсутствует подходящий, можно задать его самому. Для этого нажмите на кнопку "Шаблоны" и, в открывшемся окне, добавьте новое или измените уже существующее выражение.
Рисунок 8. Работа с шаблонами в Zlock 4.0
Третий тип условий — обработка по словарю. Это анализ, который позволяет отнести проверяемый текст к той или иной категории по наличию определенных слов. Для его использования необходимо предварительно создать один или несколько словарей. Делается это следующим образом. Выберите в меню "Сервис" консоли управления пункт "Словари" или же нажмите на одноименную кнопку в окне свойств файловой политики.
Рисунок 9. Список словарей в Zlock 4.0
В открывшемся окне нажмите на кнопку "+", введите название словаря и заполните его терминами, которые относятся к данной тематике. Вводить слова можно вручную. При этом допускается использование специальных символов ("*", "?", "@" и пр.). Если у вас уже есть готовый список слов, его можно сохранить в текстовом файле и импортировать в систему. Кроме того, в Zlock 4.0 реализована возможность загрузки терминов из других словарей (путем импорта файлов специального формата с расширением *.zdic).
Рисунок 10. Заполнение словаря в Zlock 4.0
После создания словаря фильтрация по нему задаются очень просто. В окне редактирования условия выберите нужный словарь и установите метод анализа: поиск полного соответствия, стемминг, морфологию или транслит. При этом система будет искать в исходном тексте вхождения всех слов, перечисленных в словаре.
Рисунок 11. Настройка анализа по словарю в Zlock 4.0
Последним этапом в процедуре создания файловой политики является настройка действий, которые будет выполнять система с файлами при выполнении условий проверки. Здесь доступны такие варианты, как разрешение или запрет на их чтение, запись или печать, а также включение и отключение журналирования и теневого копирования.
Рисунок 12. Настройка действий политики в Zlock 4.0
В остальном порядок внедрения, настройки и эксплуатации Zlock 4.0 по сравнению с Zlock 3.0 не изменился.
Выводы
Для удобства мы свели все различия между Zlock 3.0 и Zlock 4.0 в единую таблицу. Это позволит читателям наглядно представить себе произошедшие изменения.
Zlock 3.0 | Zlock 4.0. | |
Контроль всех видов устройств по их типу или способу подключения | + | + |
Разрешение или запрет чтения или записи USB-устройств в зависимости от содержимого файлов | - | + |
Разрешение или запрет печати документов в зависимости от их содержания | - | + |
Разрешение или запрет чтения или записи файлов на USB-устройство в зависимости от их типа | - | + |
Безусловное теневое копирование | + | + |
Теневое копирование файлов в зависимости от их типа или содержания | - | + |
Безусловное журналирование действий | + | + |
Журналирование действий с файлами определенного типа или содержания | - | + |
Лингвистический поиск по содержанию теневых копий | - | + |
Как мы видим, практически единственным изменением в Zlock 4.0 является появление контентной фильтрации. Однако это нельзя недооценивать. Контентную фильтрацию применительно к устройством можно смело назвать знаковым, принципиальным усовершенствованием системы защиты. Как мы уже говорили, простой контроль, основанный только на типе или способе подключения устройств, не удовлетворяет современным представлениям об информационной безопасности. Он не способен предотвратить утечку конфиденциальных данных через разрешенные устройства и принтеры. Ну а если учесть степень распространенности съемных накопителей и печатающих устройств, то можно понять, что речь идет о большинстве компаний.
С появлением в системе защиты контентной фильтрации ситуация меняется самым коренным образом. Сотрудники получают возможность без проблем использовать в своей работе принтеры и съемные накопители. При этом конфиденциальная информация, размещенная в корпоративной ИС, остается надежно защищенной. По сути, контентная фильтрация придает системе безопасности столь необходимую бизнесу гибкость.
Из недостатков Zlock 4.0 можно отметить только перешедшую из третьей версии систему отчетности. Данный продукт позволяет собирать очень подробную статистику обо всех действиях пользователей, нарушающих заданные политики безопасности. Однако работать с ней не очень удобно. Кроме того, отсутствует возможность представления данных в виде графиков или диаграмм, которые так удобно использовать в различных отчетах. К слову сказать, данный недостаток касается практически всех продуктов SecurIT. Исправить его можно с помощью дополнительного программного обеспечения. В частности, для этого подойдет продукт Crystal Reports. Хотя, безусловно, наличие встроенных средств могло облегчить жизнь офицерам безопасности.