[an error occurred while processing this directive]
версия для печати
Пример решения: InfoWatch Data Сontrol

Пример решения: InfoWatch Data Сontrol

Современное DLP-решение – это система, которая позволяет предотвратить утечку именно конфиденциальных данных. При этом информация, которая не подпадает под гриф "Конфиденциально", должна свободно передаваться по любым электронным каналам, не нарушая привычного хода бизнеса.

Информационные активы компании – постоянная мишень для атак. Для любой компании важно сохранение в целости и сохранности интеллектуальной собственности компании, являющейся коммерческой тайной. Потеря конфиденциальных данных и, в частности, персональных данных клиентов, может нанести урон деловой репутации компании, например, вследствие судебных разбирательств.

По данным института Ponemon “The 2008 Annual Study: Cost of a Data Breach”, средний объем ущерба, связанный с хищением конфиденциальной информации в 2008 году, составил $6,6 миллиона (в 2007 году – $ 6,3 миллиона) для США, ?1.4 миллиона для Великобритании и € 2.41 миллиона для Германии. Только в октябре 2008 г. в Германии Deutsche Telekom были потеряны 17 миллионов записей по персональным данным своих клиентов. В ноябре 2007 г. в Великобритании были утеряны два компьютерных диска Государственного управления по налогам и таможенным пошлинам (HMRC) с данными о 25 млн. человек.

Проблема контроля за распространением конфиденциальной информации стара, как мир. Раньше задача предотвращения утечек конфиденциальных данных из информационных систем решалась в основном тремя способами:

  • разграничением прав доступа к различным ресурсам,
  • ограничением доступа к портам и внешним устройствам на уровне "разрешить/запретить доступ",
  • шифрованием данных.

Однако описанные выше методы обеспечивают защиту информации только в местах ее хранения и не дают возможности контролировать обработку и перемещение конфиденциальных данных.

Таким образом, по мере развития рынка появились специализированные технологии и решения, которые защищают конфиденциальные данные от внутренних угроз и позволяют контролировать данные как в процессе их хранения, так и в процессе их обработки и передачи по различным каналам. При этом под внутренними угрозами понимаются как умышленные нарушения, так и непреднамеренные действия сотрудников в рамках своих прав доступа к данным.

Такие решения получили название DLP-систем (DLP – Data Leakage Prevention). Что же представляет собой современная DLP-система?

Сегодня на рынке существует довольно много продуктов, позволяющих детектировать и предотвращать утечки конфиденциальной информации. Однако лишь немногие из них действительно являются DLP-системами, т.е. комплексными решениями, которые покрывают все существующие каналы и работают не только в режиме мониторинга, но и могут предотвращать распространение конфиденциальных данных. Еще меньше среди таких систем решений, которые ориентированы не на крупных заказчиков, а на небольшие и средние компании. В таких условиях чрезвычайно важным становится выбор решения, которое сможет обеспечить эффективную защиту корпоративных секретов. Таким решением является InfoWatch Data Control, предназначенный для комплексной защиты конфиденциальных данных от утечки или разглашения.

InfoWatch Data Control – это интегрированный продукт для комплексной защиты конфиденциальных данных компании среднего и малого бизнеса. Решение представляет собой программно-аппаратное устройство, которое выполняет мониторинг и фильтрацию данных, передаваемых за пределы компании по электронной почте, через веб или интернет-пейджеры.

InfoWatch Data Control может быть интересен как компаниям, работающим с персональными данными (медицина, банки т.п.), так и компаниям, обладающим ценной технологической информацией, потеря которой может нанести ущерб конкурентоспособности (ИТ, фармацевтика и т.п.).

Благодаря таким возможностям, как перекрытие многочисленных каналов утечки и ведение архива инцидентов на единой платформе с централизованным управлением, InfoWatch Data Control позволит минимизировать юридические риски, связанные с утечкой информации и соблюдением нормативных требований, а также предотвратить финансовые потери, связанные как напрямую с утечкой данных - недополученная прибыль и т.п., так и вытекающих из юридических и репутационных рисков.

Активная защита

InfoWatch Data Control позволяет осуществлять не только мониторинг данных, выходящих за пределы компании и их категоризацию, но и предотвращать утечку критических данных, заблокировав перемещение тех из них, которые признаны конфиденциальными.

Мониторинг и расследование инцидентов

InfoWatch Data Control предоставляет широкие возможности как для мониторинга текущей активности пользователей корпоративной сети, так и для ретроспективного анализа и расследования инцидентов благодаря гибкой системе отчетности.

Уникальные технологии фильтрации

В основе решения InfoWatch Data Control заложен принцип гибридного анализа информации – квинтэссенция самых передовых технологий детектирования конфиденциальной информации в различных документах и текстах, как то лингвистический и морфологический анализ, цифровые отпечатки и детектор объектов. Метод морфологического анализа, используемый в решении, позволяет защищать документы на любом этапе их жизненного цикла. Применяемые алгоритмы детектирования конфиденциальных данных не требуют какой–либо предварительной обработки внутренней документации компании для того, чтобы в дальнейшем она могла быть выявлена системой контроля за утечкой данных, и не нарушают существующий документооборот. Решение позволяет анализировать даже небольшие объемы информации, например, сообщения интернет-пейджеров.

Простота настройки и сопровождения

Решение в виде программно-аппаратного комплекса позволяет максимально упростить как процесс настройки и интеграции продукта в инфраструктуру компании, так и его дальнейшее сопровождение.

Благодаря интеграции всех компонент решения в рамках одного сервера и максимальному сокращению количества параметров, настройка которых требует специализированных знаний, администрирование решения не требует усилий отдельного ИТ специалиста.

InfoWatch Data Control может поставляться не только как программно-аппаратный комплекс, но и как отдельное программное решение, которое может быть установлено на любой сервер, соответствующий рекомендованным характеристикам.

Простота и удобство использования

Настройка различных компонент InfoWatch Data Control, таких как системы перехвата или модуль анализа, может быть осуществлена в рамках единой консоли. Данная консоль также позволяет в режиме реального времени отслеживать все перехватываемые системой события.

Решение поставляется с набором предустановленных настроек, что позволяет ввести его в эксплуатацию сразу же после подключения.

Перехват и фильтрация трафика

Первоочередной задачей системы защиты от утечек является перехват трафика. InfoWatch Data Control выполняет перехват и фильтрацию трафика по следующим протоколам: SMTP, HTTP (веб-почта, форумы, чаты и т.д.), ICQ.

Одно из главных требований, предъявляемых к DLP-системам, – возможность активной защиты, т.е. система должна не только фиксировать утечку конфиденциальной информации, но и давать возможность ее предотвратить. Поэтому InfoWatch Data Control для всех контролируемых каналов поддерживает схемы интеграции «в разрыв», когда решение устанавливается непосредственно на канал передачи данных, что позволяет блокировать несанкционированную пересылку информации.

Благодаря интеграции с Active Directory InfoWatch Data Control предоставляет возможности для единой идентификации пользователей.

Анализ и принятие решения

Для того чтобы не допустить утечки конфиденциальных данных, система защиты от утечек должна проанализировать перехваченные данные, определить, являются ли они конфиденциальными, и принять решение, пропускать их дальше или нет. При этом качество и точность фильтрации являются одними из наиболее критических показателей для любой DLP-системы.

Уникальные технологии гибридного анализа, используемые в продукте InfoWatch Data Control, позволяют комбинировать различные методы анализа перехваченных данных, обеспечивая тем самым максимальную степень защиты конфиденциальных данных.

Таким образом, система выполняет анализ перехваченного трафика на предмет выявления запрещенных к пересылке данных. В процессе анализа проверяются как формальные атрибуты перехваченного объекта (размер, тип вложения и т.п.), так и его содержимое. На основании правил автоматической обработки система выносит вердикт о конфиденциальности перехваченных данных. InfoWatch Data Control предоставляет возможности для редактирования существующих и настройки новых правил автоматического вынесения вердикта по перехваченному объекту.

Детектирование и распаковка

Одной из важных задач, которые приходится решать в процессе анализа перехваченных объектов, является определение типа пересылаемого контента и корректное извлечение текста из перехваченных объектов.

Технология детектирования типов файлов, применяемая в продуктах компании InfoWatch, использует т.н. сигнатурный метод детектирования. Этот метод позволяет правильно определить тип пересылаемого файла, даже если пользователь случайно или намеренно изменил его расширение.

Пример:

Сотрудник одного банка, в котором было установлено решение InfoWatch, контролирующее веб-почту, пересылал в другой банк списки надежных заемщиков. Для того чтобы обмануть систему, он пытался "спрятать" пересылаемую информацию, меняя исходное расширение файла на "mp3". Однако система InfoWatch обнаружила несоответствие между действительным типом файла и его расширением. Таким образом, благодаря решению InfoWatch, служба безопасности банка смогла вычислить сотрудника-инсайдера.

InfoWatch Data Control поддерживает работу со следующими типами файлов:

  • детектирование мультимедиа и графических форматов – TIFF, JPEG, GIF, PNG, EMF, WMF, MP3, WAV, AVI, WMV;
  • детектирование форматов БД – MS Access (MDB);
  • детектирование и распаковка архивов – ZIP (в т.ч. самораспаковывающиеся архивы), RAR (в т.ч. самораспаковывающиеся архивы), GZIP, BZIP2, TAR, ARJ, LHA;
  • детектирование и извлечение текстовых данных и объектов – MS Office 97-2007 (MS Word, MS Excel, MS PowerPoint), MS Outlook TNEF, RTF, PDF, TXT, HTML, XML.

Другая важная задача, которую необходимо решить, прежде чем извлеченный из перехваченного объекта текст попадет на контентный анализ, – определить его кодировку. Технологии, применяемые в продуктах компании InfoWatch, позволяют корректно обрабатывать текст во всех наиболее распространенных кодировках.

Таким образом, вне зависимости от того, в каком формате передаются конфиденциальные данные, InfoWatch Data Control сможет их обнаружить и предотвратить утечку.

Контентный анализ текста

Помимо анализа по формальным атрибутам (отправитель, получатель, тип вложения и т.п.), InfoWatch Data Control позволяет выполнять анализ содержимого перехваченных данных – контентный анализ текста, извлеченного из перехваченных объектов.

Контентный анализ выполняется на основе заранее созданной базы контентной фильтрации (БКФ). БКФ не только описывает категории информации, циркулирующей в компании, но и учитывает различные атрибуты её конфиденциальности, в т.ч. специфику деятельности компании, ее требования к безопасности. По результатам проведения контентного анализа тексту автоматически присваиваются те или иные категории, соответствующие его тематике и содержанию.

Контентный анализ текста выполняется с помощью лингвистических алгоритмов, основанных на поиске ключевых слов и словосочетаний. По результатам анализа система автоматически выносит вердикт о степени конфиденциальности перехваченного объекта. В случае ошибки пользователь, работающий с системой, может изменить вердикт, вынесенный системой, или подтвердить его.

Хранение и ретроспективный анализ

Немаловажную роль в защите конфиденциальной информации играет пост-анализ: зачастую угроза утечки может таиться во внешне совершенно безобидном сообщении, и чтобы оценить и своевременно предотвратить ее последствия, необходимо провести целое расследование. Такую возможность может обеспечить лишь специализированное хранилище, содержащее архив всего перехваченного трафика.

В отличие от многих конкурентных решений, вся информация, прошедшая через InfoWatch Data Control, хранится в едином унифицированном виде в универсальном хранилище InfoWatch Storage. Для оптимизации работы (в частности, поиска) данные могут быть выгружены из базы в виде резервной копии с возможностью последующего восстановления.

Анализ данных

InfoWatch Data Control позволяет отслеживать историю пересылки данных и предоставляет широкие возможности как для мониторинга текущей активности пользователей (оперативные запросы), так и для ретроспективного анализа и расследований (аналитические запросы). Поиск данных возможен по:

  • формальным признакам перехваченных объектов (перехватчик, отправитель/получатели, дата/время отправки и т.д.);
  • атрибутам, добавленным в процессе обработки объекта (вердикт, теги и т.д.);
  • содержимому перехваченных объектов (полнотекстовый поиск).

Сокрытие содержимого перехваченного объекта

В целях соблюдения конфиденциальности пересылаемых данных в системе реализован режим сокрытия содержимого перехваченного объекта. Возможность доступа к содержимому объекта определяется полномочиями пользователя и требует предварительной дополнительной авторизации. Доступ к содержимому объекта предоставляется по требованию и протоколируется.

Рекомендуемая конфигурация

Аппаратные требования

Рекомендуемая аппаратная конфигурация – сервер HP ProLiant DL320 G6 в следующей комплектации:

Позиция P/N Количество
Сервер ProLiant DL 320G6 E5502 4Mb/2x2GbRD/4port
SATA RAID(0,1) no DVD/iLO2 std/2xGigEth
505682-421 1
Контроллер HP Smart Array P212/256MB Controller
RAID 0,1,1+0
462834-B21 1
Жесткий диск HP 300GB 15k LFF SAS 3,5” HotPlug
Dual Port Universal Hard Drive (For use with SAS)
416127-B21 2
Кабель Mini SAS to Mini SAS 33in Cable Assy 496014-B21 1
Привод HP 9.5mm DVD SATA Kit (DL 160GB,
DL320G5pG6 for use with 4bay HDD cage only)
481045-B21 1
Батарея HP Battery Backed Write Cache Kit
(enables RAID 5,5+0 on P212(256), P410, P411)
462969-B21 1

Программные требования

Сервер InfoWatch Data Control:

  • Red Hat Linux ES 4 update 5 x86-32
  • Database Oracle Standard Edition One 11g / Standard Edition 11g

Консоль управления

  • Операционная система Microsoft Windows XP Service Pack 2
  • Microsoft .Net Framework 2.0
Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS