Помимо реализованных в предыдущих версиях механизмов управления доступом к периферийным устройствам и портам, в DeviceLock 7.0 добавлены два новых компонента: ContentLock — модуль мониторинга и фильтрации контента, а также NetworkLock — модуль контроля сетевых коммуникаций.
ContentLock реализует эффективные методы контентной фильтрации структурированных данных, сочетая поиск по шаблонам на базе регулярных выражений (RegExp) с численными порогами срабатывания. При определении правил фильтрации шаблоны можно объединять в сложные комбинации с использованием логических функций «И» и «ИЛИ», задавая таким образом комплексные образцы для контентного анализа. В продукт встроены готовые наборы комплексных шаблонов для наиболее распространенных видов защищаемой информации, включая номера кредитных карт, банковских счетов, водительских удостоверений, идентификаторов социального страхования, телефонных номеров, адресов проживания и т. д. Кроме того, в качестве параметров правил фильтрации можно использовать встроенные отраслевые терминологические словари. Политики контентной фильтрации могут задаваться через правила типа «разрешений» (permissions) и «белых листов» (white-lists) с полным набором результирующих действий, включая allow, block, log и shadow.
Встроенная подсистема декодирования и разбора ContentLock обеспечивает извлечение текстов из файлов более чем 80 форматов, а также других типов данных, включая сообщения электронной почты, сообщения служб мгновенного обмена сообщениями, веб-формы и интерактивные сессии в социальных сетях, форумах, конференциях, при передаче файлов, а также в ходе сессии telnet.
Принципиальное повышение эффективности и масштабируемости функции теневого копирования DeviceLock 7.0 достигается за счет контентной фильтрации копируемых данных со всех каналов ввода/вывода, включая съемные носители и подключаемые устройства хранения, сетевые каналы, при синхронизации данных с локально подключенными мобильными устройствами (см. экран 1), а также при печати документов (для форматов PCL и PostScript). Администраторы DeviceLock 7.0 могут задавать правила фильтрации содержимого данных «тени», сохраняя в журналах регистрации только значимые для аудита информационной безопасности, расследований нештатных ситуаций и их криминалистического анализа. В результате значительно снижаются требования к емкости хранилищ теневых копий и пропускной способности каналов связи при их передаче в центральную базу журналов DeviceLock.
К функциям модуля NetworkLock относятся выборочный контроль сетевых каналов с возможностью их блокирования, протоколирования событий, а также теневого копирования. Используя встроенный сетевой анализатор, NetworkLock обеспечивает детектирование сетевых протоколов и приложений независимо от используемых ими портов, реконструкцию сессий и сообщений, извлечение и анализ их контекстных параметров, а также передаваемых файлов и иных типов данных, незаметные для пользователей перехват и дешифрование сетевых коммуникаций, защищенных туннелирующими протоколами SSL/TLS. Кроме того, выделенные из трафика файлы и иные объекты данных — например, почтовые и мгновенные сообщения, веб-формы и т. п. — передаются модулю ContentLock для контентной фильтрации.
Совместное применение ContentLock и NetworkLock позволяет контролировать сессии и фильтровать информацию от наиболее популярных сетевых приложений и протоколов:
- сообщений электронной почты и вложенных файлов, передаваемых по протоколу SMTP, включая SSL-защищенные сессии;
- веб-браузеров и при интерактивном обмене приложений HTTP, включая инспекцию сессий по HTTPS, а также при использовании webmail-служб и социальных сетей, таких как Gmail, Yahoo! Mail, Windows Live Mail (Hotmail), Facebook, Twitter, LiveJournal, LinkedIn, MySpace, «Одноклассники», «ВКонтакте»;
- служб мгновенного обмена сообщениями, включая ICQ/AOL, MSN Messenger, Jabber, IRC, Yahoo! Messenger, Mail.ru Agent;
- обмена файлами по протоколам FTP и FTP-SSL;
- сессий Telnet.
Независимо от NetworkLock модуль ContentLock обеспечивает контентную фильтрацию файлов при их передаче в локальных каналах ввода/вывода компьютеров, включая съемные устройства памяти любых типов.
Существенное улучшение потребительских характеристик DeviceLock 7.0 достигнуто за счет интеграции со встроенным в Windows 7 средством шифрования данных на съемных носителях BitLocker To Go. В итоге пользователи получают возможность без дополнительных затрат применять штатное средство Windows 7 для надежной защиты данных при их хранении на съемных устройствах памяти, доступ к которым контролируется DeviceLock.
Наряду со всем перечисленным в DeviceLock 7.0 реализован целый ряд новых механизмов и проверок контекстного уровня, дополнительно повышающих эффективность защиты от утечек данных на компьютерах пользователей. Во?первых, это поддержка набора сетевых контекстных параметров, которые используются в политиках на базе «белых листов» (whitelisting), включая адреса электронной почты, IP-адреса, их диапазоны и подсети, маски, сетевые порты и их диапазоны с использованием операндов «больше/меньше» (см. экран 2). Во?вторых, при задании правил контроля сетевых коммуникаций можно использовать адреса электронной почты и иные идентификаторы участников сетевых обменов, а также универсальные идентификаторы информационно-вычислительных ресурсов (URI/URL). В?третьих, в качестве параметров политик могут быть использованы типы сетевых приложений и протоколов: например, можно запретить сотрудникам использование на рабочих местах всех или определенных типов почтовых систем или социальных сетей.
Несколько новых параметров отслеживания добавлены для операций доступа к файлам, включая размер файла и дату его последней модификации. Что особенно полезно, в качестве параметра контроля доступа может быть использовано имя процесса (приложения), инициирующего операцию с файлом — таким образом DeviceLock 7.0, по сути, реализует базисный уровень контроля приложений через использование их имен. Несмотря на простоту, этот метод достаточно эффективен как инструмент защиты от использования несанкционированных программ и случайной активации некоторых типов вредоносного программного обеспечения обычными пользователями компьютеров, не имеющими навыков и знаний системных администраторов.
Еще одна полезная новая функция версии 7.0 — поддержка теневого копирования данных, копируемых или передаваемых на защищаемый компьютер, а не только с него, как это было в предыдущих версиях DeviceLock.
Наконец, для защиты от утечек данных, преобразованных в графическую форму, в DeviceLock 7.0 интегрирована уникальная технология анализа изображений, позволяющая в реальном времени детектировать наличие текста внутри любых графических файлов при операциях чтения или записи. В случае обнаружения текста к операции применяется заданная политика, которая может включать режимы блокирования операции, ее протоколирования, а также теневого копирования файла для последующего анализа.
Оптимально координируя применение фильтрации контента и контекстного контроля во всех каналах ввода/вывода данных, DeviceLock 7.0 обеспечивает простое и одновременно высокоэффективное решение для защиты от утечек данных.