Сертификат AM Test Lab
Номер сертификата: 409
Дата выдачи: 27.02.2023
Срок действия: 27.02.2028
- Введение
- Контроль действий сотрудников на рабочих станциях с помощью Dozor Endpoint Agent для Windows
- Контроль передачи данных с помощью Dozor Endpoint Agent для Windows
- Ключевые особенности Dozor Endpoint Agent для Windows
- Выводы
Введение
В настоящее время проблема утечек информации особенно актуальна в России. Только за последние полгода в ряде известных компаний РФ произошли крупнейшие утечки персональных и других конфиденциальных данных.
По свидетельству экспертов рынка информационной безопасности, среди мер, которые компании предпринимали в конце 2022 г. для защиты ценных сведений, чаще всего фигурировали ограничение доступа сотрудников к персональным данным и ужесточение правил работы с ними, а также внедрение ИТ-систем, сочетающих в себе функции DLP и UBA (Data Leak Prevention — предотвращение утечек данных, User Behavior Analytics — анализ поведения пользователей).
К таким системам относится, например, Solar Dozor — современный высокопроизводительный программный комплекс для контроля коммуникаций сотрудников и защиты от утечек конфиденциальной информации. С помощью Solar Dozor специалисты службы безопасности могут оперативно отслеживать и блокировать передачу информации, выявлять признаки зарождающегося мошенничества, заниматься профилактикой и расследованием инцидентов в ИБ, а также контролировать действия сотрудников на рабочих станциях (ПК, ноутбуках и т. п.) в корпоративной сети.
Solar Dozor собирает исходящий, входящий и внутрикорпоративный трафик компании, сведения о действиях сотрудников и другие данные с помощью модулей-перехватчиков. Перехваченная информация обрабатывается с использованием передовых технологий контентного и контекстного анализа в соответствии с заранее настроенными правилами политики безопасности. Если обнаружено нарушение политики, система реагирует по этим правилам: может, например, заблокировать действие сотрудника и / или своевременно уведомить офицера безопасности. Все сведения о нарушении сохраняются в системе и могут быть использованы в качестве доказательной базы в процессе расследования ИБ-инцидентов.
Также с помощью Solar Dozor можно анализировать поведение пользователей рабочих станций, выявлять аномалии (отклонения в поведении), круг общения и приватные контакты сотрудников, что позволяет получить данные об устойчивых паттернах активности каждого работника и на основе этого определить поведенческие профили. Соответственно, можно оперативно получить сведения об изменениях в поведении, вовремя отреагировать на это и тем самым предотвратить утечку данных. Например, если сотрудник по неизвестной причине начал оставаться после окончания рабочего дня и копировать какие-либо документы из общих каталогов на свой рабочий компьютер, то для службы безопасности компании это — явный повод обратить на него внимание, а правильно настроенная DLP-система в этом поможет.
Характеристики Solar Dozor:
- тщательно проработанный интерфейс, обеспечивающий удобство работы с системой;
- производительность: более 25 000 контролируемых рабочих станций;
- полноценный контроль действий на рабочих станциях под управлением Windows, Linux или macOS;
- выявление и мониторинг групп риска;
- возможность работы в территориально-распредёленном режиме;
- технологичность (нейронные сети, UBA, поддержка VDI).
Рисунок 1. Обзор возможностей DLP-системы Solar Dozor
Рисунок 2. Основные преимущества Solar Dozor
Рисунок 3. Интерфейс Solar Dozor: примеры экранов
Контроль действий сотрудников на рабочих станциях с помощью Dozor Endpoint Agent для Windows
Для контроля действий пользователей на рабочих станциях в Solar Dozor применяется отдельный модуль — Dozor Endpoint Agent (агент). Он позволяет не только отслеживать действия пользователя на компьютере или ноутбуке, но и блокировать передачу сообщений и файлов по различным каналам, если передача этих данных запрещена политикой безопасности.
В основном именно агент обеспечивает специалистов службы безопасности информацией для предотвращения и расследования инцидентов в ИБ, включая:
- данные для модуля анализа поведения пользователей Dozor UBA,
- документы, отправленные на печать;
- снимки рабочих столов ПК / ноутбуков сотрудников,
- нажатия клавиш,
- беседы в мессенджерах,
- сведения о подключённых USB-устройствах и попытках их подключения.
Кроме того, можно наблюдать за тем, что в данный момент происходит на рабочем столе ПК / ноутбука интересующего службу безопасности сотрудника: агент транслирует изображение экрана рабочей станции в режиме реального времени.
Управлять агентами можно непосредственно в веб-интерфейсе Solar Dozor: реализованы функции для полноценного управления рабочими станциями, включая централизованную установку агентского модуля на них (рисунок 4).
Рисунок 4. Интерфейс Solar Dozor: функции управления группой рабочих станций
К слову: в состав Solar Dozor входит модуль MultiDozor, который позволяет объединять независимые территориально распределённые инсталляции системы в логическую структуру, управляемую из единой веб-консоли специалистами по ИБ, находящимися, к примеру, в головном офисе компании. В этом случае управлять всеми агентами можно также централизованно.
Для каждой рабочей станции предусмотрен запуск сбора и просмотр детальной диагностической информации о состоянии агента, сведений об установленных и запущенных на станции приложениях и т. п.
Рисунок 5. Интерфейс Solar Dozor, карточка агента: сведения о рабочей станции, состоянии и настройках агента
Для контроля передачи информации в системе можно задавать правила политики ИБ, в соответствии с которыми определяется, какие действия кому из сотрудников / групп сотрудников / подразделений компании разрешено / запрещено выполнять на рабочих станциях. Начиная с актуальной на текущий момент версии Solar Dozor (7.8) правила могут применяться не только к рабочим станциям, но и к конкретным сотрудникам (и их группам) — пользователям соответствующих машин. При таком подходе в фокусе внимания специалистов службы безопасности оказывается именно сотрудник, который в данный момент использует рабочую станцию.
Пример: в офисе на одном и том же компьютере попеременно работают двое сотрудников. Один из них служит в компании несколько лет, а у второго — испытательный срок. Соответственно, к ним могут быть применены разные правила контроля.
Возможность применения разных правил контроля к сотрудникам, которые используют одни и те же рабочие станции, — одна из основных «фишек» такой организации политики ИБ. Кстати, такое же разграничение политики можно применять и к терминальным серверам.
Рисунок 6. Интерфейс Solar Dozor 7.8, редактор правил: настройка политики контроля пользователей
Таким образом, можно настроить систему на работу в режиме активного противодействия утечкам данных, при котором для определённых сотрудников и / или подразделений компании, использующих конкретные рабочие станции, запрещается, к примеру, печать документов с конфиденциальной информацией, блокируются операции с USB-устройствами, подключёнными к рабочим станциям, и т. п.
Контроль передачи данных с помощью Dozor Endpoint Agent для Windows
Dozor Endpoint Agent для Windows — один из самых развитых и востребованных модулей системы Solar Dozor. Он применяется как в небольших компаниях на несколько сотен пользователей, так в больших корпорациях.
Пример: в одной из крупнейших в РФ действующих инсталляций Solar Dozor — в «СберБанке» — эксплуатируется 250 тыс. Windows-агентов. При этом все они работают в режиме блокировки передачи данных в соответствии с единой политикой безопасности. По словам представителя банка, «…удалось внедрить систему защиты от утечек и распространить её влияние на весь банк от Калининграда до Камчатки. Был создан эффективный, хорошо масштабируемый инструмент для предотвращения утечек информации, улучшивший показатель общей защищённости банка как за счёт увеличения охвата каналов утечек, так и за счёт механизмов выявления и реагирования на защищаемую информацию. Как итог — удалось обеспечить тотальный контроль передаваемой информации. В России пока ещё не было аналогичных внедрений DLP-решений, работающих в инфраструктурах подобного масштаба с петабайтами хранящихся данных, терабайтами оперативной памяти, тысячами ядер, сотнями серверов…».
Dozor Endpoint Agent для Windows может работать на современных версиях ОС (Windows 7, 8.1, 10, 11), а также на серверных платформах, функционирующих в режиме терминального сервера (Windows Server 2008, 2012, 2016, 2019, 2022).
К основным возможностям Dozor Endpoint Agent для Windows относятся:
- контроль сетевого трафика с возможностью блокировки передачи конфиденциальных данных;
- контроль операций (с возможностью их блокировки), выполняемых пользователями рабочих станций, включая отправку документов на печать, коммуникацию с помощью систем мгновенного обмена сообщениями, операции со съёмными носителями (например, осуществляется контроль подключения USB-носителя и копирования данных на него) и запуск приложений на рабочей станции;
- видеотрансляция экрана рабочей станции выбранной персоны;
- запись звука, который поступает на вход микрофона, подключённого к рабочей станции.
В таблице ниже представлен перечень объектов и действий, которые можно контролировать с помощью Dozor Endpoint Agent для Windows.
Таблица 1. Dozor Endpoint Agent для Windows: контролируемые объекты и действия
Dozor Endpoint Agent для Windows перехватывает: | Dozor Endpoint Agent для Windows блокирует: |
|
|
Как уже было сказано, система предоставляет все необходимые инструменты, которые позволяют гибко настраивать политику — что, где, как и в каком объёме следует перехватывать и / или блокировать. Так, например, можно:
- задать правило, по которому система будет блокировать отправку определённых документов на все внешние по отношению к компании адреса;
- запретить конкретному сотруднику и / или группе сотрудников копировать на USB-носитель / в облако файлы с паспортными данными;
- задать список определённых фраз / слов и политику, с помощью которой можно легко обнаруживать нелояльных компании сотрудников.
Ключевые особенности Dozor Endpoint Agent для Windows
На наш взгляд, наиболее важные (можно сказать, ключевые) функции Dozor Endpoint Agent для Windows — это контроль операций с USB-устройствами, возможность блокировки печати, перехват переписки в мессенджерах Telegram и WhatsApp, а также отслеживание и блокировка передачи защищённых и повреждённых архивов.
Контроль USB-устройств
С помощью Dozor Endpoint Agent для Windows можно контролировать подключение различных USB-устройств к рабочим станциям. При этом система позволяет гибко настраивать:
- Политику разрешения / запрета доступа к USB-устройствам по категориям и экземплярам устройств: можно задавать доступ к различным их категориям, включая смартфоны, мобильные устройства, USB-токены и т. д., а также создавать и вести белые и чёрные списки устройств по их идентификаторам.
- Политику копирования данных на съёмные носители. Это позволяет предотвращать (блокировать) запись конфиденциальных данных на съёмные устройства. При этом создаются теневые копии файлов для последующего мониторинга и расследования действий пользователя.
- Ограничения на доступ к USB-устройству по его модели или производителю. Это позволяет оперировать более общими (по сравнению с отдельными экземплярами) категориями и реализовывать сложные сценарии контроля операций с USB-устройствами, что существенно сокращает временные затраты при работе с большим количеством устройств.
Рисунок 7. Интерфейс Solar Dozor, настройки перехвата: параметры контроля подключения USB-устройств
При включённой функции контроля USB-устройств сведения по ним сохраняются в системе, пополняя таким образом базу данных, которая также может быть дополнена вручную (рисунок 8). Кроме того, сохраняется информация о структуре каталогов каждого подключённого устройства (рисунок 9). Все эти сведения фиксируются в системе, могут быть легко найдены и использованы при расследовании ИБ-инцидентов, в случае возникновения которых важно отследить перемещение документов между сотрудниками.
Рисунок 8. Интерфейс Solar Dozor: база данных USB-устройств, добавление сведений об устройстве
Рисунок 9. Интерфейс Solar Dozor, карточка сотрудника: сведения об устройствах и попытках их подключения
Контроль печати
С помощью Dozor Endpoint Agent для Windows можно контролировать печать документов на сетевых и локальных принтерах.
Например, можно настроить систему так, что при попытках сотрудников распечатать какой-либо документ его содержимое сначала будет проверяться на соответствие заданной политике ИБ и в случае обнаружения конфиденциальных данных печать будет заблокирована, а сотрудник получит уведомление о нарушении правил политики безопасности (рисунок 11).
Рисунок 10. Интерфейс Solar Dozor, редактор правил: блокировка печати документов с банковской тайной
Рисунок 11. Экран рабочей станции сотрудника: уведомление о том, что печать документа заблокирована
Факт печати / попытки печати документа фиксируется в системе. При этом создаются теневая копия файла, который был отправлен на печать, и копии напечатанных страниц. Всю информацию специалист службы безопасности может просмотреть в интерфейсе системы.
Рисунок 12. Интерфейс Solar Dozor, карточка сообщения: сведения о печати / попытке печати документа
Контроль передачи данных в популярных мессенджерах — Telegram и WhatsApp
Dozor Endpoint Agent для Windows позволяет перехватывать переписку сотрудников в мессенджерах WhatsApp Web и Telegram, при этом в системе сохраняются тексты мгновенных сообщений и пересылаемые файлы (как отправляемые, так и получаемые, если пользователь сохраняет их на диске). Поддерживаются расширения *.doc / *.docx, *.pdf, *.rtf, *.xsl / *.xslx, *.ppt / *.pptx, *.rar, *.zip.
Таблица 2. Особенности контроля передачи данных в WhatsApp Web и Telegram
WhatsApp (веб-версия) | Telegram (веб-версия + приложение, установленное на компьютер / ноутбук) |
Контролируется переписка в веб-версии мессенджера в браузерах Google Chrome, Microsoft Edge, Mozilla Firefox, Opera и «Яндекс.Браузер». Помимо текстовых сообщений и файлов контролируются голосовые сообщения, стикеры, электронные визитные карточки (контакты) абонентов, видео- и аудиофайлы. | Контролируется переписка в настольной и веб-версии мессенджера в браузерах Google Chrome, Microsoft Edge, Mozilla Firefox, Opera и «Яндекс.Браузер». Перехватываются текстовые сообщения и файлы отправленные без сжатия. |
Результаты перехвата данных агентом сохраняются в системе, их можно просмотреть в интерфейсе в карточках соответствующих бесед и сообщений (рисунки 13 и 14).
Рисунок 13. Интерфейс Solar Dozor, карточка беседы: сведения о переписке в WhatsApp Web
Рисунок 14. Интерфейс Solar Dozor, карточка сообщения: сведения о передаче файла, отправленного в Telegram Web
Блокировка передачи защищённых паролем или повреждённых архивов
С помощью Dozor Endpoint Agent для Windows можно обнаруживать и блокировать передачу защищённых паролем и / или повреждённых архивов (поддерживаются наиболее распространённые форматы: ZIP, RAR, 7-ZIP, ARJ). Для этого достаточно создать правило политики, в котором задать условие с уже готовыми шаблонами «Защищённый паролем архив» и / или «Повреждённый архив» (рисунок 15).
Рисунок 15. Интерфейс Solar Dozor, редактор правил: блокировка передачи запароленных / повреждённых архивов
Даже из защищённого паролем архива система в большинстве случаев может извлечь структуру и названия содержащихся в нём файлов.
Рисунок 16. Интерфейс Solar Dozor, карточка сообщения: извлечённая из архива структура
Как правило, данные о структуре уже сами по себе предоставляют специалисту службы безопасности достаточно информации. Кроме того, эти данные — текстовые, а значит, доступны для поиска и применения политики фильтрации. Всё это позволяет проводить расследования при наличии сотен защищённых паролем архивов.
Выводы
Модуль DLP-системы Solar Dozor 7.8 — Dozor Endpoint Agent для Windows — это современный развитый инструмент, позволяющий контролировать действия выполняемые на компьютерах и ноутбуках с установленной ОС Windows.
Достоинства:
- Широкий спектр действий, которые можно заблокировать.
- Возможность жёсткого контроля копирования данных на съёмные носители.
- Возможность применения разных правил контроля к одной и той же рабочей станции в зависимости от сотрудника, раздельный контроль пользователей и их групп (подразделений компании, групп AD).
- Многообразие способов развёртывания агента: он может быть установлен не только с помощью веб-интерфейса Solar Dozor, но и сторонними средствами, такими как GPO (групповые политики), System Center Configuration Manager, Kaspersky Security Center.
- Единый веб-интерфейс для централизованного управления и настройки работы агентов, возможность выполнения операции с несколькими агентами одновременно.
- Возможность деактивации и последующей активации агента администратором, позволяющая оперативно проверить, отладить и / или восстановить процессы на рабочей станции.
Недостатки:
- Не для всех мессенджеров реализована функция блокировки отправки данных.
- Отсутствует возможность сформировать иерархическую структуру групп рабочих станций.