Гарда предприятие руководство администратора

1. Введение
2. Новые функции и улучшения комплекса «Гарда Предприятие»
3. Архитектура DLP-системы «Гарда Предприятие»
4. Системные требования комплекса «Гарда Предприятие»
5. Функциональные возможности DLP-системы «Гарда Предприятие»
6. Работа с DLP-системой «Гарда Предприятие»
   1. 6.1. Обзор разделов веб-интерфейса
   2. 6.2. Настройка политик
      1. 6.2.1. Политики мониторинга
      2. 6.2.2. Политики блокировки
      3. 6.2.3. Политики сканирования
   3. 6.3. Расследование инцидентов и поиск данных
   4. 6.4. Контроль сотрудников
      1. 6.4.1. Карточки сотрудников
      2. 6.4.2. Графики активности
      3. 6.4.3. Просмотр связей сотрудников
      4. 6.4.4. Контроль рабочего времени
      5. 6.4.5. Экспорт отчётов по сотрудникам
   5. 6.5. Настройки системы
      1. 6.5.1. Установка и настройка агентов
      2. 6.5.2. Пользователи и роли
      3. 6.5.3. Подключение к LDAP
      4. 6.5.4. Оповещения
      5. 6.5.5. Экспорт данных в SIEM
      6. 6.5.6. Прочие настройки
7. Выводы

Введение

Многочисленные исследования показывают, что наибольшую угрозу для предприятий представляют не внешние нарушители, а сотрудники. Их неправомерные действия, как осознанные, так и непреднамеренные, являются причиной большей части утечек баз данных, финансовой документации и другой информации составляющей коммерческую тайну.

Российский разработчик систем информационной безопасности «Гарда Технологии» (входит в «ИКС Холдинг») выпустил новую версию своей DLP-системы «Гарда Предприятие» — 5.0. Несколько лет назад мы публиковали обзор одной из прошлых версий решения (3.8), но с тех пор были существенно расширены его функциональные возможности и переработана архитектура.

«Гарда Предприятие» ― это аппаратно-программный комплекс, предназначенный для контроля различных каналов коммуникации внутри компании и анализа собираемой информации, а также для предотвращения утечек и для защиты конфиденциальных данных. Он включён в Единый реестр российских программ для электронных вычислительных машин и баз данных Минцифры России.

«Гарда Предприятие» ― первая DLP-система, основанная на принципе анализа больших данных. Система обеспечивает комплексный контроль каналов коммуникации и мощную аналитическую платформу для управления инцидентами.

Новые функции и улучшения комплекса «Гарда Предприятие»

Наиболее важные обновления комплекса «Гарда Предприятие» касаются расширения пула контролируемых форматов передачи данных.

Агенты рабочих мест теперь могут (после настройки соответствующей DLP-политики) блокировать передачу файлов на основе результатов контентного анализа, а именно — при обнаружении заданных ключевых фраз (слов или словосочетаний, а также их наборов, объединённых операторами поиска), определённых персональных данных или при фиксации сходства с другими важными документами. В текущей версии блокировка по контенту реализована только для внешних носителей (USB-флеш-накопителей, CD- / DVD-дисков и мобильных устройств). В следующие релизы планируется добавить указанную функциональность для всех контролируемых каналов коммуникации.

Также в «Гарда Предприятие» добавлен контроль передачи файлов в облачные хранилища через веб-интерфейсы.

Агент для систем на базе macOS теперь может перехватывать сообщения, включая тексты, изображения и файлы, в настольной версии мессенджера Telegram.

Дополнительно появилась возможность контроля передачи файлов при подключении внешних устройств по NTP-протоколу, в т. ч. мобильных (Android, iOS), камер и других, а также регистрации самих фактов подключения различных внешних носителей данных.

Помимо охвата дополнительных каналов передачи информации расширились возможности администратора DLP-системы. В новой версии «Гарда Предприятие» 5.0 администратор комплекса может исключать сотрудников или группы из поля контроля и удалять записи из журнала событий. В результате исключения из контроля сотрудники или группы перестанут быть доступными для поиска в системе, а их карточки будут доступны для просмотра только пользователям с ролью «Администратор». То же самое произойдёт с инцидентами в безопасности, связанными с исключёнными из поиска сотрудниками.

Также разработчики провели большую работу по устранению багов, оптимизировали стабильность и быстродействие агентов рабочих мест и системы в целом.

Архитектура DLP-системы «Гарда Предприятие»

Комплекс «Гарда Предприятие» представляет собой агентскую DLP-систему, состоящую из нескольких компонентов, которые мы рассмотрим далее.

Рисунок 1. Архитектура DLP-системы «Гарда Предприятие»

Агент рабочего места устанавливается на системы на базе Windows, Linux и macOS. Он контролирует их и подключённые к ним устройства, а также отвечает за выполнение настроенных политик информационной безопасности.

Анализатор сетевого трафика (собственный модуль проксирования шифрованных соединений) получает копию сетевого трафика с маршрутизатора или данные с прокси-сервера по протоколу ICAP и проверяет, соответствует ли передаваемая по сети компании информация установленным DLP-политикам.

Подсистема управления предоставляет гибкие возможности по администрированию процессов перехвата данных в компании, отвечает за анализ этих данных для обнаружения инцидентов в безопасности и строит по ним отчёты.

Центр управления комплексом «Гарда Предприятие» образуется из комбинации подсистемы управления, анализатора сетевого трафика и ещё одного компонента, отвечающего за анализ корпоративной почты.

Таким образом, основная информация, передаваемая по сети компании и полученная с маршрутизатора, прокси-сервера, сервера корпоративной почты, будет отслеживаться даже в том случае, если агенты рабочих машин по каким бы то ни было причинам не установлены на рабочие места.

Подсистема обработки и хранения данных, как следует из названия, отвечает за запись и хранение всей информации, передаваемой в компании. Также она реализует постоянный мониторинг данных со всех подключённых к системе каналов коммуникации и предоставляет возможности по проведению ретроспективного анализа собранной информации.

Отдельно отметим, что в одной из прошлых версий (релиз состоялся в ноябре 2020 года) был осуществлён переход к микросервисной архитектуре. Это повысило эффективность горизонтального масштабирования системы, предоставив широкие возможности по формированию распределённой по филиалам DLP-системы ― географического кластера с единым центром управления.

Модули балансировки подключений агентов рабочих мест автоматически рассчитывают, сколько микросервисов нужно для выполнения задач DLP-системы в части обработки и анализа передаваемых в компании данных.

Рисунок 2. Схема работы комплекса «Гарда Предприятие» в формате географического кластера

Системные требования комплекса «Гарда Предприятие»

«Гарда Предприятие» предоставляется в формате либо готового аппаратно-программного комплекса (в виде 1U- / 2U- / 4U-сервера в зависимости от необходимых вычислительных мощностей), либо программного продукта с набором предустановленных DLP-политик. Во втором случае развёртывание системы происходит в среде виртуализации.

Благодаря системе хранения (собственная разработка «Гарда Технологий») уровня DataWarehouse обеспечены быстрый поиск и анализ больших объёмов данных — сотни терабайт за секунды. Архитектура комплекса позволяет организовать хранение данных на одном сервере.

Агенты рабочих мест адаптированы ко всем популярным операционным системам:

• Windows XP SP3 / 7 / 8 / 10 / Server 2008 и 2012,
• Linux Special Edition версии 1.6 и выше,
• Astra Linux Common Edition версии 1.9 и выше,
• Ubuntu версий 16 и 18,
• Linux Mint версий 18 и 19,
• macOS версий 10.14, 10.15 и 11.0 (Big Sur).

Для работы с DLP-системой у пользователя должен быть установлен один из следующих браузеров: Google Chrome (80.0.3987 и выше), Mozilla Firefox (68.0.1 и выше), Opera (65.0.3467.78 и выше).

Функциональные возможности DLP-системы «Гарда Предприятие»

DLP-система «Гарда Предприятие» обладает расширенными функциональными возможностями по всестороннему контролю, анализу и хранению информации, передаваемой в компании. Мы перечислим используемые технологии далее.

Поиск похожих документов позволяет находить текстовые документы на основе образцов с возможностью обнаруживать факты изменения содержания, передачи или копирования фрагментов исходного текста. Эта функция реализована для документов форматов DOC, DOCX, XLS, XLSX, PPT, PPTX, HTML, EML, XML, TXT, PDF даже в том случае, если они найдены в архивах.

Критериальный поиск предоставляет разнообразные возможности по поиску информации на основе сигнатур и других нетекстовых параметров (например, по типу или объёму данных, протоколу передачи или учётным записям сотрудников), а также распознаванию текста на изображениях для последующего анализа. С помощью этой технологии можно находить в сетевом трафике документы или их фрагменты, чертежи (AutoCAD, SolidWorks, «Компас») и выделять структурированные данные — например, паспортов или кредитных карт — в потоке информации.

Лингвистический анализ позволяет искать текстовую информацию в различных файлах (текстовых или графических) и в архивах по ключевым словам и фразам с учётом морфологии русского и английского языков. Для категоризации данных по тематикам можно использовать настраиваемые словари.

Поиск документов на рабочих местах и в сетевых хранилищах осуществляется агентами в соответствии с определёнными DLP-политиками.

Хранение и анализ данных реализованы различными методами обработки больших объёмов информации таким образом, чтобы был возможен быстрый доступ к ним — в частности, для обеспечения мгновенного отклика системы при критериальном и полнотекстовом поиске.

Контроль HTTPS-трафика возможен как на рабочих местах (с помощью агентов, функционирующих в автономном режиме), так и в сети (с помощью анализатора сетевого трафика, установленного в разрыв контролируемых каналов передачи данных).

Контроль облачных хранилищ ― технология для защиты конфиденциальной информации от передачи во внешние облачные хранилища. Ещё раз отметим, что в рассматриваемой версии комплекса появилась возможность контролировать не только приложения хранилищ, но и их веб-версии.

Контроль периферийного оборудования на рабочих местах реализован посредством агентов и позволяет отслеживать работу со внешними носителями информации, блокировать подключение устройств на основе белых и чёрных списков, а также осуществлять теневое копирование данных для последующего анализа.

Контроль приложений на рабочих местах, а именно возможности по управлению доступом к приложениям по категориям и анализу активности их использования, также реализованы посредством агентов.

Для того чтобы у читателя сформировалось полное представление о возможностях реализованных в DLP-системе, перечислим контролируемые каналы коммуникации на рабочих местах и в сети компании.

С помощью агента можно блокировать передачу конфиденциальных документов, просматривать рабочий стол сотрудника в режиме реального времени или делать снимки экрана автоматически при выполнении определённых условий, искать документы, а также контролировать следующие каналы утечки конфиденциальных данных:

• съёмные носители информации;
• сервисы печати;
• веб-трафик (сайты, веб-почта, социальные сети);
• мессенджеры (Skype, Viber, Telegram, Jabber, ICQ, Lync, а в ближайших релизах планируется добавить контроль WhatsApp);
• приложения (обеспечивается запрет их использования в соответствии с установленными политиками);
• облачные хранилища;
• устройства ввода (микрофон, клавиатура).

В сети компании «Гарда Предприятие» может интегрироваться с прокси-сервером по протоколу ICAP для дополнительного контроля информации внутри сети, синхронизировать базу сотрудников с учётными записями из LDAP-каталогов (например, с Active Directory), а также контролировать следующие каналы:

• веб-сайты (HTTP, HTTPS),
• социальные сети,
• корпоративную почту (по протоколам SMTP, POP3, IMAP, MAPI), внешние почтовые сервисы (в т. ч. Microsoft Office 365) и веб-почту,
• сервисы FTP, SMB, Torrent,
• интернет-мессенджеры (QIP, ICQ, Gtalk, MMP и др.),
• телефонию (VoIP, SIP, SDP, H.323, MGCP, SKINNY, Megaco/H.248), причём реализована возможность отслеживать звонки не только с рабочих машин, но и с телефонов,
• Skype for Business.

Кроме того, «Гарда Предприятие» использует технологии по обнаружению фактов передачи конфиденциальных документов: чертежей и схем форматов AutoCAD (DWG, DXF, DWT), SolidWorks (STL) и КОМПАС (A3D, CDW, SPW, KDW, M3D), файлов или изображений, содержащих персональные данные (паспорта, водительские удостоверения, банковские карты, СНИЛС, ИНН, VIN-коды, расчётные счета), документов с печатями и т. д.

Работа с DLP-системой «Гарда Предприятие»

Мы не будем подробно останавливаться на моментах связанных с развёртыванием и первоначальной конфигурацией, поскольку серверная часть DLP-системы поставляется клиентам в виде готового продукта и не требует специальной настройки, и сразу перейдём к работе с «Гарда Предприятием».

Пользователи могут работать с DLP-системой с любого удобного устройства — компьютера, планшета или телефона — через веб-интерфейс. А при настроенной синхронизации с LDAP (о ней мы расскажем немного далее) доступ к интерфейсу возможен с использованием доменной авторизации.

Рисунок 3. Окно аутентификации к веб-интерфейсу DLP-системы «Гарда Предприятие»

Обзор разделов веб-интерфейса

Сразу на главной странице отображены общая статистика по работе комплекса, перехваченной информации и инцидентам в безопасности, рейтинги сотрудников по используемым приложениям или другим параметрам, список последних нарушений установленных политик (это отчёты по различным показателям, сгенерированные за определённый промежуток времени).

Рисунок 4. Главная страница интерфейса комплекса «Гарда Предприятие»

Пользователь может взаимодействовать с каждым отчётом — например, выгружать в формате PDF или XLS, менять тип диаграммы, — а также (при наличии соответствующих прав) настраивать их отображение в соответствии с рабочими нуждами: менять их местами, удалять, добавлять новые виды отчётов.

Представление статистической информации в графическом формате, обновляемом в режиме реального времени (каждые 10 минут), существенно облегчает задачи по мониторингу событий в сети: различные аномалии или возможные сбои в работе комплекса хорошо отличимы на соответствующих диаграммах.

Интерфейс включает в себя следующие основные разделы:

• «Политики» ― раздел для управления DLP-политиками.
• «Поиск» ― раздел поиска по всем данным и документам, передаваемым в сети предприятия.
• «Сотрудники» ― раздел предоставляющий возможности работать с карточками сотрудников, просматривать статистику по их активности и другую связанную информацию (нарушения DLP-политик, снимки экранов и другое).
• «Отчёты» ― раздел позволяющий просмотреть информацию о статистике по использованию рабочего времени и веб-ресурсов.
• «Журналы» ― раздел, в котором отображены все происходящие в системе действия пользователей и возникающие системные сообщения.
• «Настройки» ― раздел для администрирования комплекса.

Далее мы подробно рассмотрим возможности взаимодействия с большинством из разделов.

Настройка политик

Грамотно определённые в DLP-системе политики информационной безопасности составляют основу для эффективного выявления нарушений в организации и предотвращения утечек конфиденциальных сведений. В комплексе «Гарда Предприятие» реализованы широкие возможности по настройке DLP-политик в зависимости от преследуемых целей.

Рисунок 5. Раздел «Политики» интерфейса комплекса «Гарда Предприятие»

По назначению можно выделить:

• политики контроля (мониторинга) для отслеживания движения информации на предприятии;
• политики сканирования для поиска конфиденциальных документов в сети;
• политики блокировки для запрета передачи важных данных или документов (по меткам, контенту или по файловым хранилищам).

Во время просмотра политики в соответствующем разделе интерфейса пользователь видит информацию о последних инцидентах по этой политике, список нарушивших её сотрудников и использованные при этом каналы коммуникации в случае срабатывания политик блокировки или мониторинга, а также перечень рабочих мест ― для политик сканирования. Здесь же оператор может перейти ко списку всех нарушений этой политики.

Рисунок 6. Настройка DLP-политики в интерфейсе комплекса «Гарда Предприятие»

При необходимости пользователь с соответствующими разрешениями может останавливать детектирование событий для выбранных DLP-политик, удалять нарушения или саму политику.

Политики мониторинга

Политики контроля, они же политики мониторинга, по факту являются некими критериями поиска по обнаружению любой передачи данных, которая может нанести ущерб компании, то есть которая нарушает её информационную безопасность. В качестве контролируемых сведений могут выступать ключевые фразы, персональные данные, соответствующие определённому типу документов (ИНН, банковские карты, паспорт, СНИЛС и другие) или регулярному выражению, а также документы для сравнения; в последнем случае будут отслеживаться похожие файлы. Помимо этого пользователь может настраивать контроль передачи информации определённой тематики (по специально созданным словарям) и мониторинг по отдельным сотрудникам, выступающим в роли получателей или отправителей. Это полезно в случаях, когда чья-то активность вызывает подозрения и требует дополнительного и индивидуального наблюдения.

Рисунок 7. Создание политики мониторинга в интерфейсе комплекса «Гарда Предприятие»

Политики блокировки

Принципиальным нововведением в обозреваемой версии «Гарда Предприятия» стала возможность блокировать передачу данных и файлов по результатам контентного анализа и при использовании веб-версий файловых хранилищ. О них мы расскажем более подробно. Кроме того, можно запретить передачу промаркированных документов, предварительно добавив их в общие папки и установив специальные метки.

Для блокирования передачи файлов оператор системы, как и при создании политик мониторинга, указывает ключевые слова, типы персональных данных, образцы файлов для сравнения, словари (если нужно блокировать передачу документов по наличию определённой лексики). Также можно выбрать каналы связи, для которых данные будут блокироваться, и настроить другие параметры (например, отправку оповещений по почте при срабатывании политики или экспорт в SIEM).

Сейчас реализовано два сценария блокирования документов по контенту. Если политика применяется для рабочего места, то для передачи любого документа требуется положительное решение системы (вердикт), а для блокирования ― отрицательное. Если вердикта для файла нет, то либо выполняется проверка контентным анализатором (она может занять продолжительное время, если файл большой), либо передача запрещается полностью, если включено блокирование всех документов без вердикта.

Рисунок 8. Создание политики блокирования передачи документов по контенту в интерфейсе комплекса «Гарда Предприятие»

Блокирование передачи по файловым хранилищам происходит в том случае, если контрольная сумма данных в передаваемом с рабочей машины документе соответствует объёму данных в документе запрещённом для отправки. Для реализации этого механизма предварительно формируется специальный список контрольных сумм данных, пополняемый по результатам проверки каждого нового файла. Как и в случае блокирования по контенту, можно настроить запрет передачи документов из файловых хранилищ по умолчанию, однако такая политика может стать препятствием для полноценной работы сотрудников.

Рисунок 9. Создание политики блокирования передачи по файловым хранилищам в интерфейсе комплекса «Гарда Предприятие»

Политики сканирования

Политики сканирования для поиска конфиденциальных данных в сети предприятия позволяют в том числе идентифицировать сотрудников, которые хранят документы с такими данными (поддерживаются форматы DOC, DOCX, PPT, PPTX, XLSX, PDF, ODT, ODP, ODS). Эти функции реализуют агенты DLP-системы, установленные на рабочих местах или на файловых хранилищах сети предприятия.

Процесс создания и настройки политики сканирования по своей сути не отличается от предыдущих типов политик.

Рисунок 10. Создание политики блокирования передачи по файловым хранилищам в интерфейсе комплекса «Гарда Предприятие»

Расследование инцидентов и поиск данных

«Гарда Предприятие» предоставляет широкие возможности по поиску данных и документов среди всей информации, которая перехватывается в сети предприятия. Эта функция востребована клиентами для предварительной проверки актуальности новых политик безопасности и ретроспективного расследования неучтённых инцидентов, произошедших до создания соответствующих политик. Благодаря возможностям быстрого поиска в массиве данных — более 100 ТБ/с — пользователь DLP может отфильтровать выдачу архива по различным параметрам, включая каналы коммуникации или тип передаваемых данных, сотрудников, отправителей или получателей информации, теги (пометки, которые устанавливаются на конкретное событие для облегчения его поиска) и другие — например, можно искать по названию рабочего места, имени процесса или формату файлов. Также реализована возможность расширенного поиска по маске строки и при помощи логических операторов.

При этом для удобства пользователей система позволяет сохранить условия поиска в виде фильтра. Впоследствии можно не только применять его для поиска информации, но и создать на его основе политику мониторинга для детектирования инцидентов в безопасности.

Рисунок 11. Раздел «Поиск» интерфейса комплекса «Гарда Предприятие»

В интерфейсе системы также можно просматривать схему распространения данных (отчёт по движению информации в сети), то есть кто и посредством каких каналов информацию передавал.

Рисунок 12. Схема распространения данных в сети предприятия в интерфейсе комплекса «Гарда Предприятие»

В разделе с функциональными возможностями комплекса мы уже описали основные особенности, связанные с контентным анализом (поиск данных и документов по ключевым словам или фразам, по регулярным выражениям и на основе образцов других файлов) и прочими вариантами поиска по данным и документам в сети. Поэтому просто приведём пример поиска объектов связанных с посещением известных сайтов с вакансиями.

Рисунок 13. Поиск по перехваченным данным в интерфейсе комплекса «Гарда Предприятие» с использованием типового фильтра

Кроме того, возможно использование настраиваемых словарей для категоризации объектов в соответствии с используемой в них лексикой. Словарь состоит из списка ключевых слов определённой тематики, для каждого из которых указан его вес (значимость). При использовании словаря для поиска данные будут отображаться в результатах только в том случае, если они содержат слова или фразы, общий вес которых превышает пороговое значение (100 %).

Рисунок 14. Пример словаря для поиска данных в интерфейсе комплекса «Гарда Предприятие»

В целом основное назначение поиска данных ― это возможность проверить, всё ли было учтено при настройке политик безопасности или есть какие-то ещё данные, которые нужно дополнительно анализировать и отслеживать. Иначе говоря, это способ тестирования DLP-политик и защиты от ложноположительных срабатываний.

Контроль сотрудников

На странице «Сотрудники» интерфейса комплекса «Гарда Предприятие» пользователь увидит дерево структуры компании, включая внешние контакты (например, по аккаунтам в мессенджерах, социальной сети «ВКонтакте», Skype, по почтовому адресу), статистику по активности сотрудников, последние снимки рабочих экранов и диаграмму связей. А если настроена синхронизация с LDAP-сервером, то в систему автоматически экспортируется (с периодическим обновлением) база данных сотрудников.

Рисунок 15. Страница «Сотрудники» в интерфейсе комплекса «Гарда Предприятие»

Рисунок 16. Добавление нового контакта в интерфейсе комплекса «Гарда Предприятие»

Карточки сотрудников

Карточка сотрудника показывает основную информацию о нём, которая дополняется автоматически (например, в случае использования им новых мессенджеров, контролируемых комплексом) или вручную оператором.

Рисунок 17. Карточка сотрудника в интерфейсе комплекса «Гарда Предприятие»

Графики активности

Здесь же можно увидеть график активности сотрудника, который показывает количество фактов получения или передачи информации через различные каналы связи (количество перехваченных объектов). При этом пользователь может настраивать параметры отображения и переходить к списку объектов каждого типа непосредственно при просмотре графика.

Рисунок 18. График активности сотрудника в интерфейсе комплекса «Гарда Предприятие»

Просмотр связей сотрудников

Диаграмма связей (графическое отображение взаимодействия сотрудников между собой или со внешними контактами) наглядно показывает пул общения каждого работника. Оператор может динамически разворачивать связи контактов сотрудников, добавлять новые контакты из дерева структуры компании и переходить к просмотру переданных сообщений и файлов при нажатии на связующую линию диаграммы. При этом толщина и цвет линий и иконок демонстрируют тип связи и активность взаимодействия. Красные элементы на схеме показывают взаимодействие со внешними контактами, а синие ― с другими сотрудниками.

Рисунок 19. Визуализация связей сотрудников в интерфейсе комплекса «Гарда Предприятие»

Контроль рабочего времени

Статистика по используемым приложениям и веб-ресурсам наиболее полезна для сотрудников отдела кадров, поскольку она демонстрирует, насколько эффективно с точки зрения рабочего процесса использует своё время каждый сотрудник.

Диаграмма ранжирует используемые работником программы и приложения за выбранный промежуток времени.

Рисунок 20. Статистика по использованию программ и приложений в интерфейсе комплекса «Гарда Предприятие»

Также в интерфейсе комплекса «Гарда Предприятие» доступен отчёт отражающий подробную статистику рабочего дня одного или нескольких сотрудников. На нём хорошо визуализируются периоды активной работы (выделены синим цветом), отсутствия активности (если более 10 минут нет никаких действий с помощью мыши или клавиатуры, то такой период обозначается светло-голубым цветом) или отсутствия на рабочем месте, когда машина заблокирована (серый цвет).

Пользователь системы увидит информацию об используемой программе в виде всплывающего сообщения, появляющегося при наведении на какой-то участок активности.

Рисунок 21. Статистика рабочего дня сотрудника в интерфейсе комплекса «Гарда Предприятие»

Статистика по наиболее часто посещаемым веб-сайтам за выбранный период и общий список всех сайтов с количеством посещений и размером собранных объектов также регистрируется в системе.

На момент подготовки обзора отсутствует категоризация или тегирование веб-ресурсов: их нельзя объединить в группы по типу, а просмотр статистики по большому количеству сайтов может быть неудобен. Этот изъян перекрывается возможностью по настройке словарей, но только частично — в вопросах поиска или мониторинга данных, а не построения статистических отчётов. Разработчик планирует внедрить доработки уже в ближайших релизах.

Рисунок 22. Статистика по посещению веб-сайтов в интерфейсе комплекса «Гарда Предприятие»

Рисунок 23. Полный список посещаемых веб-сайтов в интерфейсе комплекса «Гарда Предприятие»

Экспорт отчётов по сотрудникам

Пользователь системы может выгружать все доступные данные, включая диаграммы, графики и детализированные отчёты, за необходимый период по любым сотрудникам в формате PDF или XLSX.

Настройки системы

Комплекс «Гарда Предприятие» хоть и предоставляется клиентам в уже готовом формате, но всё равно требует некоторых действий со стороны администраторов.

Среди общих настроек функционирования системы отметим возможности по настройке перехвата веб-трафика, ограничения на размеры данных и файлов, которые перехватываются на рабочих местах.

Рисунок 24. Общие системные настройки комплекса «Гарда Предприятие»

При настройке перехвата веб-трафика можно добавлять исключения. Например, для внутренних ресурсов, посещение которых не будет связано с рисками в информационной безопасности, можно создавать списки сайтов, соединения с которыми по HTTPS не будут расшифровываться.

Установка и настройка агентов

Для того чтобы система имела возможность контролировать рабочие места, на них должны функционировать агенты DLP-системы. Их установку, настройку и обновление можно производить непосредственно в интерфейсе комплекса при наличии соответствующих прав.

Рисунок 25. Установка агента на рабочее место через интерфейс комплекса «Гарда Предприятие»

Агенты настраиваются под задачи пользователя системы и контролируют заданные каналы передачи информации. Настройки сохраняются в шаблон, что позволяет применять индивидуальные настройки работы агента для разных пользователей или рабочих мест.

Рисунок 26. Настройка агента через интерфейс комплекса «Гарда Предприятие»

В подразделе «Агенты рабочих мест» указан общий список рабочих мест в мониторинге и их статусы, которые отражают информацию о функционировании агентов.

Пользователи и роли

Каждая учётная запись в DLP-системе имеет определённую роль со своими правами доступа. Три роли установлены в системе изначально:

• Администратор имеет доступ ко всем функциям и разделам интерфейса. В его задачи входят настройка и контроль за функционированием комплекса.
• Офицер информационной безопасности может создавать политики, просматривать отчёты по событиям, сотрудникам и т. д.
• HR, или сотрудник отдела кадров, видит только информацию по сотрудникам, причём связанную не с нарушениями политик, а с эффективностью их работы.

Помимо этого администратор может редактировать или удалять существующие роли и создавать новые с указанием необходимых настроек доступа к функциям системы, а также настроить автоматическое назначение роли доменным пользователям (если предварительно настроена синхронизация с Active Directory по LDAP).

Рисунок 27. Редактирование роли «HR» в интерфейсе комплекса «Гарда Предприятие»

Рисунок 28. Создание новой роли пользователя в интерфейсе комплекса «Гарда Предприятие»

Подключение к LDAP

Как уже было замечено, в комплексе реализована возможность синхронизации базы данных сотрудников с учётными данными из Microsoft Active Directory через LDAP. Это делает доступными такие функции, как доменная авторизация или автоматическое присвоение пользователям некоторых групп определённых ролей, а также дополняет информацию о сотрудниках данными об их принадлежности к определённым группам пользователей Active Directory.

Оповещения

Оператор комплекса может настроить отправку оповещений о срабатывании DLP-политик на почтовый сервер.

Рисунок 29. Настройка отправки оповещений на почтовый сервер в интерфейсе комплекса «Гарда Предприятие»

Экспорт данных в SIEM

Система позволяет экспортировать данные о срабатывании DLP-политик в SIEM-системы в формате CEF и LEEF.

Рисунок 30. Экспорт данных в SIEM-систему через интерфейс комплекса «Гарда Предприятие»

Прочие настройки

Среди других настроек системы отметим установку правил для исключения перехвата определённых данных (так можно в том числе исключить какого-то сотрудника, ресурс или канал связи из мониторинга) и возможности по самодиагностике комплекса. Администратор может проводить тестирование источников данных (анализатора сетевого трафика) и просматривать такую информацию о комплексе, как состояние дисков хранилища и сегментов базы данных, объём свободного и занятого дискового пространства и оперативной памяти, а также сведения о поступлении, индексации, сохранении и ротации данных.

Рисунок 31. Результаты самодиагностики через интерфейс комплекса «Гарда Предприятие»

Выводы

Нарушения информационной безопасности, которые связаны с деятельностью сотрудников в отношении конфиденциальных данных, по статистике приводят к наиболее тяжёлым для бизнеса последствиям. Поэтому так важно контролировать информационные потоки в сети предприятия, что и объясняет развитие как мирового, так и отечественного рынков DLP-систем.

Новая версия «Гарда Предприятия» представляет собой гибридную DLP-систему, которая использует агенты для контроля сотрудников на местах и сетевые перехватчики для анализа трафика. Активная блокировка вероятных утечек конфиденциальных данных, интегрированная в новую версию, существенно повышает её эффективность в борьбе как со случайными утечками, так и с преднамеренными кражами корпоративной информации.

Система обладает обширными функциональными возможностями по контролю каналов коммуникации, перехвату и анализу данных. Помимо решения основной задачи, связанной с детектированием нарушений DLP-политик и защитой компании от утечек информации, система позволяет оценивать эффективность работы сотрудников, а также может ускорять расследование скрытых инцидентов в безопасности благодаря ретроспективному анализу данных.

Принципиальными обновлениями версии 5.0 стали возможности по контролю (включая блокирование) передачи данных и документов по результатам анализа содержимого, а также отправки их в файловые хранилища через веб-интерфейсы (контроль соответствующих приложений осуществлялся и в более ранних версиях системы) и при подключении внешних носителей информации: мобильных устройств, USB-флеш-накопителей, камер и др.

«Гарда Предприятие» поставляется в формате готового решения, сконфигурированного с учётом требований и активов организации, что существенно упрощает процесс развёртывания и первоначальной настройки, сокращая период внедрения DLP-системы до нескольких дней. Хорошая горизонтальная масштабируемость системы и возможность её использования с единым центром управления в распределённой ИТ-инфраструктуре позволяют использовать её на предприятиях любого размера, включая холдинги.

Отдельно отметим, что в настоящее время происходит обновление сертификата ФСТЭК России для DLP-системы «Гарда Предприятие». Информацию о старом документе (№3437) можно посмотреть здесь, а получение нового, актуального сертификата планируется в 2022 году.

Достоинства:

• Единый центр управления при использовании в распределённой ИТ-инфраструктуре.
• Возможность установки агентов на операционные системы Windows, Linux и macOS.
• Система хранения собственной разработки с повышенным уровнем сжатия данных и высокой скоростью поиска по архиву.
• Удобный и интуитивно понятный пользовательский веб-интерфейс, настраиваемые отчёты, в т. ч. интерактивные, обновляемые в режиме реального времени.
• Широкие возможности по контролю каналов коммуникации в сети предприятия, включая возможность мониторинга сетевого трафика без установки агентов на рабочие места.
• Расширенные возможности по контентному анализу, выявление попыток передачи документов, чертежей и изменённых конфиденциальных сведений, активное блокирование передачи данных или документов.
• Контроль эффективности работы сотрудников и подробные отчёты по использованию рабочего времени.
• Подробная эксплуатационная документация и комплексная техническая поддержка.
• Не требуется дополнительных лицензий.
• Полностью российская DLP-система, зарегистрированная в реестре Минцифры России и соответствующая требованиям регуляторов (152-ФЗ, 98-ФЗ, 149-ФЗ и GDPR).

Недостатки:

• Отсутствие возможностей по категоризации веб-ресурсов для построения статистических отчётов по используемым сайтам.
• Для грамотной и точной настройки DLP-политик в системе требуется определённая степень квалификации сотрудников, включая глубокое понимание процессов обеспечения информационной безопасности в компании. Частично этот момент перекрывается наличием подробной эксплуатационной документации.

Как защитить базы с персональными данными, рассказываем на примере крупного ритейлера

Недавно одна обширная торговая сеть запустила программу лояльности. Команда Бастион участвовала в этом проекте в качестве консультантов по информационной безопасности, и это отличный повод поговорить о защите баз с персональными данными.

В этом посте расскажем, как работает database activity monitoring, какие мощности нужны, чтобы анализировать гигабиты трафика на лету, и в чем внешний мониторинг превосходит встроенный.

---

Каждый месяц, а то и чаще, базы какой-нибудь крупной компании попадают в сеть. То Marriott упустит имена 5,2 млн клиентов, то из-за бага у DigitalOcean утекут платежные данные. Такой риск существует и в случае с программой лояльности, ведь в ней много ценного: ФИО и телефоны, адреса электронной почты и адреса доставки, даты рождения и списки покупок.

Если подобная база окажется в открытом доступе, парой гневных постов на Хабре дело может не закончиться. Все перечисленное — персональные данные, которые, согласно закону, требуют особого обращения. Мало защитить такую базу от утечек, вдобавок нужно выполнить массу формальных требований ФСБ, ФСТЭК и Роскомнадзора, подготовить кипы документации. И здесь важно понимать, что именно и как делать.

В этой папке не только политика обработки персональных данных, но и другие необходимые бумаги — больше 20 различных документов и приложения к ним

Можно идеально подготовиться к проверке Роскомнадзора, написать все регламенты и выполнить требования, но это не гарантирует, что база не окажется в свободном доступе. Практика показывает, что данные утекают и в тех компаниях, которые годами успешно проходят проверки.

И наоборот, можно надежно защититься, и все равно получить штраф от регулятора, например, неправильно подготовив проектную документацию на систему. Штрафы растут, а глава минцифры держит наготове законопроект об уголовной ответственности за массовые утечки персональных данных. Чтобы защититься от юридических рисков, некоторые компании идут на хитрости.

Как защищаются компании

Первое, что приходит в голову — обезличить данные. Их все равно придется защищать, но, по крайней мере, не придется беспокоиться о Роскомнадзоре.

Этот подход годится, например, для работы с большими данными. Даже обезличенные, они сохраняют ценность. Когда речь идет о статистике и аналитике, персоналии не так уж важны. Но в клиентских сервисах это не вариант. Большинство коробочных решений для маскирования точечные, они не заточены под работу с постоянным притоком данных и замедляют обработку. Они не всегда позволяют согласовать такие нюансы, как длина потока и формат данных на входе и выходе. А еще это дополнительная, сложно диагностируемая точка отказа.

Надежно обезличить данные и построить на них эффективную программу лояльности не получится. Все равно понадобятся телефоны и имена клиентов, а они уже считаются персональными данными, не говоря об истории покупок.

Второй подход — раздельное хранение и обработка данных. Есть мнение, что если хранить, например, ФИО на одном сервере, а номера телефонов на другом, то можно выйти из-под действия 152-го Федерального закона и обойтись без оформления документации и установки дополнительных СЗИ. Так вот, это плохая идея.

Раздельная обработка данных делает архитектуру сложнее, дороже и уязвимее. Но главное — не защищает от требований Роскомнадзора.

С точки зрения регулятора, достаточно, чтобы хотя бы где-то в цепочке передачи данных встретились, например, имя и телефон. Неважно, что они разложены по разным базам и датацентрам. Если их можно сопоставить, значит, в информационной системе обрабатываются персональные данные. А иногда персональными данными могут признать и отдельные ФИО без какой-либо дополнительной информации.

Централизованная архитектура и грамотная система безопасности будут и проще, и надежнее.

Пока разработчики со стороны заказчика занимались проектированием инфраструктуры программы лояльности, мы взялись за подготовку пакета документов для бумажной безопасности, проектирование и внедрение защиты.

Программа лояльности изнутри

Программа лояльности состоит из набора сервисов — это сайт и клиентское мобильное приложение, через которые можно делать заказы, а также интеграции с партнерами по доставке: Delivery Club, Яндекс.Еда и СберМегаМаркет.

Мобильные телефоны, ФИО и другие персональные данные с сайта, из мобильного приложения и от партнеров поступают в инфраструктуру ритейлера. СберМегаМаркет подключается напрямую к 1С, используя REST. Delivery Club и Яндекс.Еда отправляют их при помощи SOAP через отдельный шлюз.

Затем данные аккумулируются в базе Greenplum и по необходимости отправляются в Manzana. Это сервис для автоматизации и управления программами лояльности. Он нужен для подсчета баллов и выдачи скидок.

Как защищать базы данных

В подобных системах базы доступны большому числу пользователей, и данные могут утечь десятками различных способов. Поэтому мониторить утечки на уровне периметра неудобно и неэффективно. Логичнее бороться с ними на низком уровне, контролировать выгрузки информации.

Неважно, что случилось: хакер проник через веб-сервер, администратор вынес базу на флешке, менеджер перед увольнением выписал в блокнот потенциальные сделки или сфоткал экран (от этого никакая DLP не застрахует) — это отслеживается на уровне доступа к базе. Поэтому во многие базы данных встроено логирование. Однако, это неоптимальное решение для нагруженных систем.

Контроль доступа встроенными средствами увеличивает нагрузку на базу. Взять аудит в Oracle Database. Он позволяет настраивать правила реагирования на доступ к определенным данным и оповещает об их срабатывании, но уже при настройке десятка правил производительность проседает.

По нашим подсчетам локальные мониторинги снижают ее на 10–40%, в зависимости от базы и типа запросов. Придется наращивать серверные мощности, а Oracle по ним лицензируется. В итоге мониторинг еще и влетит в копеечку.

Еще одна проблема — контроль привилегированных пользователей. Львиную долю утечек допускают сами администраторы. В этом случае логирование на уровне базы бесполезно. Администратор может запросто остановить мониторинг, либо затереть логи.

Наконец, если с базой что-то случится, расследовать инцидент может быть невозможно.

Представьте себе такой случай: в одном банке перестал работать сервер базы данных. Его восстановили из резервной копии, но возникли подозрения, что его кто-то взломал. Вызвали специалиста из MS SQL. А тот говорит: «Зря вызывали. Вы все логи затерли, когда поднимали базу из бекапа»…

Поэтому мы считаем, что оптимальное решение — внешний мониторинг обращений к базам. Для этого мы развернули Гарду БД, инструмент, который используют в инфраструктуре банков и сотовых операторов, — гибрид DAM (Database Activity Monitoring) и DBF (Database Firewall).

Что умеет Гарда БД

После установки эта система проверяет базы в сети компании на наличие персональных данных, начинает отслеживать вносимые изменения и контролировать срок жизни персональных данных.

Затем Гарда БД строит статистические профили пользователей и проводит поведенческий анализ (UBA).

Система запоминает, с каких адресов входит пользователь, какие компьютеры и приложения использует. А еще, какие базы он смотрит и сколько данных использует в работе.

Гарда БД засекает отклонения от профиля по различным параметрам, например, если обращения к базе поступают с нового компьютера, или сотрудник запрашивает данные клиентов из другого подразделения компании. А еще система сравнивает получившийся профиль с другими пользователями и находит аномалии — подозрительные действия и нетипичное поведение.

Например, пользователь просматривал 50 клиентов в неделю, но в этот раз смотрел уже 100. Или в среднем кассир-операционист 30 раз в день обращается к базе, но один из них делает это 130 раз.

Система в режиме реального времени сообщает о таких аномалиях, а также отслеживает и предупреждает о нарушении заранее заданных политик безопасности. Кроме того, она составляет схемы распространения информации и хранит историю запросов к базам данных.

Как это работает

Гарда БД состоит из пары серверов: анализатора трафика и центра управления, который объединяет хранилище с данными и веб-интерфейс. Они работают на CentOS и устанавливаются в сети заказчика.

Когда кто-то обращается к базе, TCP-поток, либо его копия отправляются на анализатор. Дальше в дело вступают слои декодеров. Они в режиме реального времени собирают из «сырых» данных сессию и вычленяют из нее запрос к базе данных. В результате получается выжимка, которая включает в себя текст запроса и различные переменные.

Анализатор сверяет эти данные с политиками безопасности, и, если они попадают под одно из правил, выжимка отправляется в хранилище, а в центре управления срабатывает предупреждение. В противном случае данные отбрасываются.

В Гарду БД встроен набор готовых правил, например, мониторинг массовых выгрузок или политика тотального перехвата. Она подразумевает сохранение всех запросов к базе данных. Однако, это только вспомогательный инструмент, основную защиту обеспечивают настраиваемые политики безопасности.

Политики безопасности представляют собой набор условий, при наступлении которых срабатывает тревога. С их помощью можно вручную составлять сложные и детальные правила под конкретные нужды.

Так можно контролировать обращения к критически важным таблицам, засекать менеджеров, которые просматривают чужие сделки, или, например, отслеживать доступ к паспортным данным клиентов, даже если они беспорядочно разбросаны по разным базам данных.

Интеграция в сеть

Гарда БД либо работает с копией трафика, либо устанавливается в разрыв. В первом случае система работает в режиме мониторинга, снимает трафик с сетевого узла, через который общаются приложения.

При установке в разрыв Гарда БД работает как сетевой экран, в режиме L3 reverse прокси. Она принимает SQL-запрос от пользователя, кладет в кеш, проксирует запрос в базу данных, получает ответ. Затем система сверяет данные с политиками безопасности и принимает решение — отправить пользователю ответ или разорвать соединение.

В случае с программой лояльности мы решили устанавливать Гарду БД в режиме мониторинга, а не в разрыв. Это оптимальный вариант для первой установки.

Интеграция системы мониторинга в сеть без учета Manzana

При установке в разрыв неправильные политики безопасности могут парализовать работу баз данных, а идеально настроить правила с первого дня работы системы сложно. Они сильно зависят от бизнес-процессов компании, а те еще не устоялись.

Установку в разрыв стоит выбирать, когда есть четкое понимание, что нужно заблокировать, и по каким признакам можно точно распознать нежелательную активность.

Зато Гарда БД в режиме сетевого экрана не только блокирует любые подозрительные запросы, но и позволяет разграничивать доступ пользователей к разным таблицам. Так можно реализовать ролевую модель на уровне всей сетевой инфраструктуры компании.

Железо

За фильтрацию запросов в режиме реального времени приходится платить высокими требованиями к железу.

Анализатор трафика, рассчитанный на 2 гигабита/с — это пара процессоров по 16 ядер, например Intel Xeon Gold 6226R, 256 ГБ оперативной памяти и, обязательно, сетевая карта на Intel i350. Требования к чипсету объясняются тем, что для работы анализатора необходима поддержка DPDK.

Центр управления загружает работой 24 процессорных ядра, 256 ГБ оперативки и внушительный дисковый массив, никак не меньше RAID6 емкостью 20 ТБ. Там разворачивается графовая база данных, разработанная специально под эту систему.

При входящем трафике в 2 гигабита/с этого хватает на год хранения данных. Дело в том, что TCP-поток записывается по правилам и не в сыром виде. Анализатор очищает трафик. Даже если активировать политику тотального перехвата, в хранилище центра управления поступает около 30% того, что приходит на анализатор.

Для проекта с ритейлером хватило всего пары серверов. По меркам 2021 года это ниже среднего. Обычно требуется обрабатывать 5–8 гигабит/с, а самый крупный заказчик, у которого ставили эту систему, прогоняет через Гарду БД 20 с лишним гигабит трафика в секунду.

К счастью, и центр управления, и анализатор кластеризуются. Нужно обработать 20 гигабит — ставим 10 анализаторов, перевязываем ленточкой. То же самое с центром управления. При этом данные мониторинга попадают в единый веб-интерфейс и для пользователей системы ничего не меняется. Так что, когда программа лояльности вырастет, проблем с масштабированием не будет.

Установка Гарды БД

Гарда БД — коробочное решение. Ее можно установить и настроить за неделю, но это в теории. На практике много времени уходит на сопутствующие работы: сбор сведений об инфраструктуре, согласование общего технического решения, оформление документации. Обычно на установку системы уходит около месяца. Так получилось и в этот раз.

Впрочем, задержка сыграла нам на руку. Система реализует часть требований закона, но это все же практическое средство защиты, а не зонтик, которым прикрываются от регулятора.

К тому времени, как закончилось функциональное тестирование системы, мы как раз успели подготовить все остальное: обновили уже готовые документы, написали проектную документацию на систему, подобрали конфигурации ОС и СУБД, внедрили средства антивирусной защиты, которые необходимы по закону. Теперь и данные клиентов в безопасности, и Роскомнадзор носа не подточит.

1. Введение

2. Архитектура и системные требования

3. Функциональные возможности

4. Работа с продуктом

4.1. Управление политиками

4.2. Управление сотрудниками

4.3. Поиск переданной информации

4.4. Отчеты

5. Выводы

Введение

DLP-системы доказали свою актуальность и результативность в борьбе с утечками данных, поэтому с каждым годом их становится все больше. Только в России свыше пяти производителей DLP­систем, и у каждого из них свой подход к защите от утечек информации. Общий алгоритм работы любой DLP-системы основан на перехвате максимально возможных каналов утечки и поиска в передаваемой информации признаков конфиденциальности, но основные отличия DLP-систем кроются в изначальном векторе развития решений. В данном обзоре мы подробно рассмотрим DLP-систему «Гарда Предприятие» от компании МФИ Софт, производителя широкого спектра систем информационной безопасности и анализа трафика.

Эта DLP-система создавалась как решение, анализирующее большое количество протоколов в сетевом трафике на высоких скоростях. Ранее мы публиковали обзор одной из предыдущих версий продукта «Гарда Предприятие», с тех пор прошло более двух лет, и за это время он значительно изменился. МФИ Софт активно развивает свои продукты и следует всем современным тенденциям в вопросах оптимизации информационных технологий, поэтому новая версия «Гарды Предприятие» 3.8 не только предлагает расширенный набор функций и новые контролируемые каналы, но и полностью переработанный интерфейс администратора.

DLP-решение позиционируется как инструмент для ежедневной работы в крупных предприятиях. Упор в нем сделан на аналитической системе и контроле максимально возможного количества каналов утечки информации. «Гарда Предприятие» долго хранит все передаваемые данные и позволяет анализировать их в реальном времени с возможностью в любой момент восстановить полную картину передачи интересующей информации. Основное отличие продукта от конкурентов — собственное высокопроизводительное нереляционное хранилище для быстрой работы с большими массивами данных.  

Архитектура и системные требования

«Гарда Предприятие» 3.8 может поставляться как в программном, так и в программно-аппаратном варианте, при этом программное решение может быть развернуто в среде виртуализации, что существенно снижает стоимость внедрения продукта.

Рисунок 1. DLP-система «Гарда Предприятие» в аппаратном исполнении

 

Комплекс решения поставляется на едином оборудовании. Для обзора мы условно разделили систему на такие модули:

• Анализатор — основной модуль «Гарды Предприятие», обеспечивающий обработку потоков информации, проходящей по сети организации, а также информации, полученной от агентов, установленных на рабочих местах сотрудников. Обработанную информацию анализатор размещает в системе хранения данных.
• Система хранения и поиска данных — высокопроизводительное хранилище класса DWH (Data Warehouse), полностью разработанное МФИ Софт, обеспечивает возможность компактного хранения большого объема обработанной информации и предоставляет возможности для быстрого и гибкого поиска. Для защиты 200 рабочих мест требуется примерно 10 Тб свободного объема на жестких дисках.
• Центр управления — веб-сервер, предоставляющий доступ администраторам к работе с продуктом.
• Агент РМ — легковесное программное обеспечение, которое может быть установлено на рабочие места персонала для расширения функций по сбору данных, а также предоставляющее дополнительные возможности — контроль приложений, снятие скриншотов и управление доступом к съемным носителям информации. Данные с агентов также поступают на сервер «Гарды Предприятие» и анализируются согласно настроенным правилам.

В зависимости от инфраструктуры, технических возможностей и задач заказчика подключение сервера может производиться путем перенаправления копии всего сетевого трафика через SPAN-порт (mirror) коммутатора, либо в разрыве между коммутатором и остальной сетью с перенаправлением всего трафика через продукт.

Функциональные возможности

Функции «Гарды Предприятие» условно делятся на возможности, связанные с анализом, и возможности, реализуемые с помощью агента рабочих мест. В части анализа решение обеспечивает поддержку следующих сетевых протоколов:

• HTTP, HTTPS;
• электронная почта и доски объявлений — SMTP, POP3, IMAP4, NNTP;
• сервисы веб-почты — mail.ru, mail.yandex.ru, mail.rambler.ru, qip.ru/pochta.ru, hotmail.com, mail.yahoo.com, gmail.com;
• службы обмена мгновенными сообщениями — ICQ, MSN Messenger, Windows Live Messenger, Lync, AIM, Yahoo! Messenger, Jabber, Mail.Ru Агент, IRC, Skype;
• VoIP — SIP, SDP, H.323, MGCP, Skinny, H.245, T.38, Megaco/H248, H.263 ABC, H.264;
• нешифрованные туннельные протоколы L2TP и IP-in-IP;
• передача файлов — FTP, SMB, P2P.

В составе «Гарды Предприятие» присутствует собственный модуль проксирования шифрованных соединений, устанавливаемый в разрыв контролируемого канала передачи данных, благодаря чему обеспечивается разбор и анализ зашифрованных протоколов, например HTTPS.

Поддерживается анализ содержимого в файлах следующих форматов:

• Microsoft Office — Word, Excel, Access, PowerPoint;
• PDF;
• простые текстовые файлы (Plain Text);
• архивы — RAR, ZIP, ARJ, GZIP, TAR.

Кроме того, в системе анализа и поиска информации реализован механизм защиты от преобразования данных, то есть внедрения одного формата в другой. Например, если сотрудник попытается переименовать Word-файл в формат изображения, «Гарда Предприятие» обнаружит этот факт.

В решении заложены разнообразные технологии анализа для повышения точности выявления нарушений:

• Лингвистический анализ — поиск текстовой информации с учетом морфологии русского и английского языков.
• Поддержка шаблонных данных — обнаружение в потоке текста элементов, соответствующих шаблонам, заданным с помощью регулярных выражений, например паспортных данных или номеров кредитных карт.
• Сохранение метаинформации и критериальный поиск — анализатор «Гарды Предприятие» сохраняет всю метаинформацию по передаче данных, что позволяет осуществлять поиск информации на основе сигнатурных и других нетекстовых критериев — тип данных (форматы файлов, виды информации), объем данных, протокол передачи, учетные записи пользователей и так далее.
• Поиск похожих документов — возможность поиска по фрагментам документов и отслеживание фактов передачи информации, разбитой по частям.
• Распознавание изображений — поиск данных в отсканированных документах и документах, сохраненных как изображение. Поддерживаются форматы JPEG, BMP, PNG, TIFF и PDF.
• Возможность синхронизации базы сотрудников с учетными записями из LDAP-каталога, например из Active Directory.
• Агент рабочих мест обладает дополнительными функциями, их настраивают централизованно. С помощью агента можно контролировать приложения, работающие на компьютерах сотрудников — получать данные о запущенных процессах и времени их работы, а также обеспечить разграничение доступа к периферийному оборудованию — разрешить или запретить отдельные устройства и обеспечить теневое копирование выводимой информации для последующего анализа.

Устанавливать, удалять и диагностировать агентов можно в режиме реального времени из единого интерфейса, без использования каких-либо дополнительных консолей. С помощью имеющихся в системе шаблонов они настраиваются как на отдельные рабочие места, так и на группы мест (и даже отделы или департаменты). Для дополнительного обеспечения безопасности шифруются соединения между агентами и серверной частью «Гарды Предприятие».

Работа с продуктом

Подключение к «Гарде Предприятие» осуществляется через веб-интерфейс с помощью обычного браузера. Система не использует плагины и расширения браузеров, поэтому работа с интерфейсом может выполняться с любого устройства — компьютера, планшета или смартфона. Доступ к управлению осуществляется по протоколам HTTP или HTTPS.

Рисунок 2. Окно аутентификации веб-интерфейса «Гарды Предприятие»

 

Система разрабатывалась с учетом интересов не только офицеров службы безопасности, но и руководителей предприятий и HR-специалистов. Ролевая модель доступа позволяет выделить различные права доступа:

• Администратор — главный пользователь системы, обладающий полными правами работы с продуктом.
• Офицер — пользователь с ограниченными правами, позволяющими управлять политиками безопасности и просматривать статистические отчеты о перехваченном информационном обмене сотрудников организации.
• HR-пользователь, которому доступна только функция по просмотру отчетов.

После прохождения аутентификации открывается главное окно, которое отображает общую статистику о передаваемой в компании информации, статистику инцидентов, топ сотрудников по использованию определенных программ или документов и другую информацию. Подобная рабочая область позволяет визуализировать необходимую для ежедневной работы информацию в режиме реального времени. Виджеты главного экрана можно заменять или перекомпоновывать на усмотрение пользователя.

Рисунок 3. Главный экран с настраиваемыми отчетами в DLP-системе «Гарда Предприятие»

 

Все виджеты отчетов интерактивные: при выборе на диаграмме какого-либо из параметров (мессенджеры, почта и т. д.) осуществляется переход к просмотру внутренних сообщений и диалогов. А если выбрать конкретную фамилию в списке сотрудников, можно увидеть детализацию — что именно и через какие каналы передавал работник.

Графики поступления данных отображают не только объем поступившей информации, но и количество объектов (письма, сообщения и т. д.). График помогает убедиться в отсутствии сбоев в сети и выявлять различные аномалии. Например, факт передачи большого количества объектов небольшого объема может свидетельствовать о попытке DDoS-атаки. Таким образом, в системе реализована визуализация передаваемой информации в организации по самым разным параметрам в режиме реального времени.

Управление политиками

Политики безопасности «Гарды Предприятие» представляют собой набор правил поиска информации, передаче которой нужно уделить особое внимание. Чтобы выявлять конфиденциальную информацию, используются современные технологии контроля и анализа данных, перечисленные в разделе функциональных возможностей.

В окне управления политиками отображается список заданных в системе правил и статистика по нарушениям — динамика инцидентов, график наиболее часто срабатывающих политик, список инцидентов по сотрудникам и перечень используемых каналов нарушений. В продукте также реализован набор предустановленных политик — контроль персональных данных, ИНН, кредитных карт и другие.

Перед созданием новой политики можно проверить ее работоспособность на архиве собранных данных — система проведет ретроспективный анализ и покажет инциденты, произошедшие до формирования нового правила.

Рисунок 4. Регулирование политик безопасности в режиме реального времени в «Гарде Предприятие»

 

Каждая политика состоит из следующих параметров:

• Название и описание — произвольные текстовые поля.
• Контроль — выбор типа данных для контроля — текстовая фраза, персональные данные или документы, а также указание критерия поиска для выбранного типа. Например, при выборе типа «фраза» указывается текст, обнаружение которого в трафике будет считаться нарушением политик. При выборе типа «персональные данные» указывается тип персональных данных из предустановок — ИНН, данные банковских карт, паспортные данные, СНИЛС и т. д. «Гарда Предприятие» самостоятельно производит поиск выбранных персональных данных, подпадающих под определенные критерии. Для типа «документ» указываются примеры документов, и система осуществляет поиск как полностью идентичных, так и частично похожих документов. Например, для отслеживания передачи по каналам связи ежемесячного финансового отчета достаточно указать как пример один из отчетов, новые документы с похожей структурой и содержанием будут обнаружены автоматически.
• Каналы передачи данных — указывается перечень каналов связи, в которых осуществляется контроль. В качестве каналов передачи данных поддерживается как указание высокоуровневых каналов (почта, мессенджеры, веб-сайты, социальные сети, носители информации и т. д.), так и детализированные. Например, для почты можно выбрать конкретный почтовый сервис или исключить из общего раздела корпоративную почту, оставив поиск только в личных почтовых ящиках сотрудников.
• Дополнительные параметры — различные сужающие поиск параметры, такие как размер сообщения, IP-адрес и порт, форматы файлов, адрес веб-сайта, тема письма и прочее. Данные параметры позволяют гранулярно ограничить область действия политики.
• Сотрудники — параметр позволяет применить политики только к отдельным сотрудникам или группам сотрудников. При этом возможно указание роли сотрудника — отправитель или получатель информации.

Политиками можно управлять произвольно — добавлять новые, редактировать существующие, удалять и временно отключать их действие. По каждой политике можно просмотреть нарушения. В списке срабатываний политики отображается полная информация по инциденту — имя сотрудника, канал передачи данных, переданная информация, дата и время нарушения. При желании администратор может сразу же перейти к подробным данным, загрузить переданное сообщение или файлы, а также получить информацию по другим инцидентам пользователя и всей его активности.

Для блокировки передачи конфиденциальных данных в «Гарде Предприятие» реализован специальный тип политики. С помощью нее можно промаркировать конфиденциальные документы, расположенные в сетевых папках общего доступа, и запретить их передачу — либо полностью, либо по конкретным каналам. Документы можно группировать как по уровню секретности, так и по организационной структуре — например, документы бухгалтерии. С помощью этой политики можно промаркировать шаблон и заблокировать все попытки передачи подобных документов.

Рисунок 5. Блокировка утечек чувствительной информации в «Гарде Предприятие»

 

Управление сотрудниками

Список сотрудников в «Гарде Предприятие» автоматически загружается из LDAP-каталога (включая Active Directory) с сохранением структуры и подчинения — группировка и распределение по организационным подразделениям. При изменениях в LDAP-каталоге система синхронизирует данные и оперативно обновляет их в своей базе. На основании полученных из LDAP данных в продукте создаются личные карточки на каждого сотрудника, содержащие фотографию, должность, информацию о его рабочем месте, о доменной учетной записи, адрес электронной почты, номер телефона и другие данные. Также в карточку автоматически добавляются учетные записи в сторонних сервисах (почтовые адреса, идентификаторы в мессенджерах, аккаунты социальных сетей), которые использовались сотрудником данных сервисов в рабочее время. Внести недостающие сведения в любую карточку можно и вручную.

Рисунок 6. Персональная карточка сотрудника в «Гарде Предприятие»

 

При выборе одного сотрудника в интерфейсе в рабочей области отображаются различные данные по его активности:

• Статистика — общие счетчики посещенных веб-сайтов, переданных почтовых сообщений, счетчик сообщений в мессенджерах и социальных сетях. Можно выбрать период времени для отображения статистики.
• Связи сотрудника — графическое отображение связей сотрудника с другими сотрудниками в сети предприятия, а также внешние связи по различным каналам.

Толщина линий на графе отражает интенсивность и объемы переданной информации между контактами. При отображении графа связей можно выбрать период времени для контроля, ограничить вывод внешних или внутренних связей, а также производить интерактивную загрузку дополнительных связей.

Рисунок 7. Карта взаимосвязей сотрудника по всем каналам коммуникаций за определенный период времени в «Гарде Предприятие»

 

Определить, какого рода эти связи, можно по толщине и цвету линий. При выборе линии происходит интерактивная загрузка дополнительных связей, что позволяет выстроить схему коммуникаций как одного конкретного сотрудника, так и группы (довольно часто встречаются общие контакты, когда два сотрудника не общаются между собой напрямую, но вместе связаны с третьим лицом). К этой же схеме возможно добавление другого сотрудника, если вдруг возникнут подозрения, что с какими-либо контактами из данной схемы он может общаться. Просмотр осуществляется простым переносом контакта данного сотрудника на схему. В таком случае она перестраивается в режиме реального времени.

Рисунок 8. Взаимосвязи между сотрудниками в DLP-системе «Гарда Предприятие»

 

Кроме отслеживания связей, «Гарда Предприятие» собирает статистику по использованию приложений на компьютерах пользователей, что позволяет отобразить перечень приложений и время их активности. При этом учитывается не время запуска и остановки приложения, а количество времени, когда приложение было активно — то есть находилось в фокусе и использовалось сотрудником. Данная возможность может быть использована отделом по работе с персоналом для контроля эффективности работы сотрудников.

Рисунок 9. Контроль рабочего времени сотрудников в «Гарде Предприятие»

 

На основе этих данных решение строит статистику рабочего дня как конкретного сотрудника, так и целого отдела. Информация выводится в виде графика с данными о входе и выходе из системы, общем и активном времени работы. Все элементы статистики также интерактивны: можно проверить, какие именно приложения сотрудник использовал в данный отрезок времени.

Рисунок 10. Интерактивная статистика рабочего дня в «Гарде Предприятие»

 

Кроме того, продукт собирает информацию о посещаемых веб-адресах, количеству посещений и объему переданной и полученной информации и позволяет делать снимки экрана (скриншоты).

Рисунок 11. Скриншоты экрана с компьютера сотрудника в «Гарде Предприятие»

 

Всю полученную информацию за любой срок по любым сотрудникам сразу же можно вывести в наглядный отчет в форматах PDF, CSV (Excel) или HTML с прикрепленными файлами.

Поиск переданной информации

Поиск переданной информации осуществляется по различным наборам параметров и критериев. Указание параметров поиска выполняется так же, как и создание политик. Более того, создание политик безопасности возможно не только из раздела политик, но и из раздела поиска информации. Фактически политики — это шаблоны поиска с автоматическим обнаружением, то есть любой поисковый запрос может быть преобразован в политику безопасности. Единственное отличие политик от поиска — наличие временного ограничения, так как поиск является динамическим запросом от администратора, а политика срабатывает в режиме реального времени.

Вариативность поисковых запросов системы «Гарда Предприятие» упрощает нахождение нужной информации. Например, при использовании ключевых слов ищутся факты передачи данных с учетом морфологии сразу по всем каналам. При вводе ключевых слов и фраз можно пользоваться дополнительными символами и операторами, такими как «*», «?», «!», «OR» и «AND». Можно ограничить промежуток времени для поиска, указать отправителя или получателя данных, в качестве которых могут выступать сотрудники (для этого достаточно выбрать нужных сотрудников из списка), либо почтовые адреса, идентификаторы социальных сетей, мессенджеров и IP-адреса.

Рисунок 12. Поиск по ключевым словам в «Гарде Предприятие»

 

Найденные данные отображаются в виде списка или карточек с возможностью предпросмотра содержимого — переданного сообщения, посещенной страницы и т. д. Результаты поиска могут быть экспортированы в виде PDF-отчета или CSV-файла для дальнейшей обработки или передачи заинтересованным лицам.

В разделе «Поиска» также размещается инструмент для проведения расследований инцидентов — карта распространения документов.

Рисунок 13. Карта распространения документов в DLP-системе «Гарда Предприятие»

 

Пользователь может загрузить в систему документ и получить отчет о передаче этого файла как внутри компании, так и наружу. Наглядно можно проследить, каким образом документ распространялся на предприятии: кто из сотрудников и когда его передавал, кто распечатывал, а кто просто вносил какие-то изменения. Таким образом, в случае утечки какого-либо важного документа можно сразу определить, как она произошла.

Отчеты

Система отчетности «Гарды Предприятие» позволяет не только визуализировать нарушения политик безопасности, но и прогнозировать потенциальные каналы утечек информации, выявлять аномалии в информационном пространстве. В решении есть возможность создавать собственные шаблоны отчетов по различным срезам информации. Можно сформировать отчеты, например, по распечатанным документам или файлам, скопированным на внешние носители. При этом любой отчет можно просматривать в виде круговой или столбчатой диаграммы, а также списком.

В продукте встроен ряд предустановленных отчетов:

• топ сотрудников по количеству переданных файлов;
• топ переданных файлов по размеру;
• топ сотрудников по использованию электронной почты;
• топ сотрудников по посещению веб-сайтов;
• топ посещаемых веб-сайтов;
• топ сотрудников по использованию мессенджеров;
• топ сотрудников по нахождению в социальных сетях;
• топ сотрудников по звонкам через IP-телефонию.

Рисунок 14. Отчеты по популярным действиям сотрудников в DLP-системе «Гарда Предприятие»

 

Отчеты могут быть построены по произвольному промежутку времени и сохранены в форматах CSV и PDF. Виджет любого отчета можно вынести на главную страницу, чтобы всегда контролировать интересующую информацию.

Выводы

«Гарда Предприятие» — DLP-система с простым и понятным интерфейсом, легким в освоении. Архитектура решения не требует сложной перенастройки существующей сетевой инфраструктуры, а поддержка интеграции с Active Directory упрощает развертывание и настройку. Благодаря этому внедрение и использование данной DLP-системы осуществляется в короткие сроки и без дополнительных финансовых затрат. По данным МФИ Софт, среднее время ввода системы в эксплуатацию, учитывая внедрение и освоение продукта сотрудниками компании, не превышает трех дней.

«Гарда Предприятие» обладает большим набором функций и обеспечивает полный контроль всей локальной сети, компьютеров пользователей и передаваемых наружу данных. Наличие сложных механизмов анализа — лингвистического модуля, распознавания изображений и контроля маскировки данных, обеспечивает высокий уровень детектирования информации и с высокой степенью надежности не позволяет выполнить обход DLP-системы стандартными методами.

«Гарда Предприятие» подойдет для инфраструктуры любых размеров, от небольших компаний до распределенных филиальных сетей. За счет статистических отчетов, графиков связей сотрудников и инновационной системы хранения работа продукта в большой организации не будет связана с проблемами, присущими обработке большого объема данных. Восстановить полную картину приема/передачи информации и построить схемы коммуникаций в режиме реального времени не составит труда.

Достоинства:

• Российский продукт — наличие сертификата соответствия ФСТЭК России, присутствие в реестре российских программ Минсвязи, полностью русскоязычный интерфейс и документация, отсутствие проблем с технической поддержкой.
• Широкий набор механизмов анализа и распознаваемых каналов передачи данных, включающий VoIP-телефонию, торренты и туннелирующие протоколы.
• Инновационная система хранения данных с поддержкой Big Data для быстрого доступа к любым объемам сохраненной информации.
• Наличие агентов рабочих мест и возможность контроля рабочего времени сотрудников.

• Система политик и отчетов, позволяющая обеспечить своевременное обнаружение и расследование утечек информации, наличие инструментов для проведения расследований.
• Возможности блокировки передачи данных по содержимому документов.

Недостатки:

• Необходимость выделять большие объемы свободного места на жестком диске для хранения собранных данных.
• Наличие агентов только под Windows, отсутствие агентов под Linux, Mac OS и мобильные операционные системы.

Гарда Предприятие