(см. экран 1).
Экран 1. GateWall Mail Security |
Расшифровывается аббревиатура DLP как Data Loss Protection (защита от утечки данных), а работает технология очень просто. DLP «ловит» информацию, не предназначенную для разглашения, до ее попадания в Интернет, еще внутри локальной сети компании. При этом, согласно идеологии DLP, распространитель конфиденциальных данных сразу же становится известен системе, отвечающей за безопасность в локальной сети. При внедрении такой системы в программное решение, предназначенное для защиты электронной почты, коим является GateWall Mail Security, получается весьма действенное средство по борьбе с утечками данных в компаниях любого уровня.
Очередь писем
Представим себе методы «выноса» информации. Каждый из них требует копирования данных на физический носитель либо сторонний сервер, и эти действия легко пресечь, запретив на компьютерах пользователей подключение внешних устройств либо ограничив выгрузку любых данных корпоративным брандмауэром. Однако остается лазейка, которую стандартными методами прикрыть невозможно, — электронная почта. Почта необходима для полноценной работы в офисе, ее не заблокируешь, и именно через этот канал ценные килобайты уплывают в неизвестном направлении.
Модуль DLP, интегрированный в GateWall Mail Security, блокирует письма с заранее заданным администраторами содержанием и извещает ответственного за безопасность сотрудника, руководителя или всех вместе взятых о нарушении корпоративной политики (см. экран 2). Вместо блокировки письмо может быть задержано на определенный срок, после которого все же будет отправлено адресату. Однако администратор вправе вручную отклонять отправку задержанных писем.
Экран 2. Создание правила политики |
Все письма, которые были так или иначе остановлены фильтрами GateWall Mail Security, о которых речь пойдет ниже, попадают в «Очередь писем» где для администратора предоставлена вся информация о причине задержания. Одновременно отправитель получает информацию о том, как с его письмом поступил GateWall Mail Security, и именно поэтому разработчик рекомендует заранее ознакомить сотрудников с корпоративными правилами пользования электронной почтой.
«Очередь писем» дает возможность дополнительной проверки корреспонденции человеком, что уменьшает риск ошибок, которые может допустить программа, работающая в автоматическом режиме.
Антишпионские методы
Автоматически каждое письмо проверяется тремя методами, и все они ищут в корреспонденции определенные слова, выражения, сочетания символов и т. д. Поиск ведется в теле письма, теме и вложениях. Рассмотрим каждый метод проверки подробнее.
Регулярные выражения. Наиболее простой, но очень эффективный метод поиска. Администратором изначально задается несколько фильтров, каждый из них будет отвечать за определенное содержимое письма. В одном из фильтров может быть задана точная фраза, в другом слово, а третий настроен на срабатывание в том случае, если в теле письма будет хоть одна цифра. Можно самостоятельно создавать и добавлять любые фильтры, но следует помнить, что любой фильтр из модуля «Регулярные выражения» сработает только при точном совпадении с указанными данными.
Сравнение документов. Более гибкий, но скорее служащий дополнением к предыдущему средству модуль, использющий созданный ранее шаблон, в который занесены те или иные слова. Администратор настраивает порог совпадений, и при его превышении, во время сравнения письма с шаблоном, срабатывает фильтр. Здесь нужно отметить, что обмануть этот фильтр не так просто. Дело в том, что он автоматически изменяет слова в письме, возвращая их к начальной форме — именительному падежу и единственному числу для существительных и инфинитиву для глаголов. А если есть нужда блокировать вложения определенных форматов, например PDF, то требуется добавить пустой шаблон нужного формата.
Лемматизатор. Это самый интересный метод анализа писем. Для его работы необходимо ввести ключевые слова, на которые он будет срабатывать. Лемматизатор, как и модуль сравнения, возвращает слову его первоначальную форму, но помимо этого еще и спрягает и склоняет слова. Поэтому требуемые ключевые слова, в какой бы они форме ни стояли, будут правильно обработаны этим модулем. Каждому ключевому слову можно назначить «вес» — определенное количество баллов, а порог срабатывания должен быть настроен на определенный «вес».
Хотелось бы отметить, что фильтры «Сравнение документов» и «Лемматизатор» работают не только с русским языком, но и с английским, а также с немецким.
Настройка всех трех модулей предельно логична и проста, а их групповое применение гарантирует стопроцентное соблюдение правил компании в отношении электронной почты.
Кстати, таким же образом можно не только поддерживать безопасность, но и ограничить личную переписку сотрудников в рабочее время. Для дополнительного контроля можно использовать систему отчетов «Журнал событий», с помощью которой легко отыскать интересующую цепь сообщений за определенный период.
Внешняя безопасность
Внутренняя защищенность — это, конечно, хорошо, но агрессивность внешней интернет-среды никто не отменял, поэтому защита от угроз извне также крайне важна. Кстати сказать, киберпреступник с хорошей подготовкой сможет получить доступ к компьютеру пользователя и всем данным, хранящимся на нем, с помощью единственного невинного на первый взгляд письма. И если пользователи корпоративной локальной сети получают не одну сотню писем в день, то обеспечить безопасность почты без специального программного обеспечения довольно сложно. На этот случай GateWall Mail Security предлагает свою стратегию обеспечения безопасности. Программа фильтрует корреспонденцию, отсеивая сообщения, содержащие вирусы, фишинговые ссылки, спам, который зачастую несет в себе не только нежелательную рекламу, но и пригоршню троянцев, и прочие вредоносные сообщения в особую карантинную зону, где они уже не представляют опасности.
Встроенные антивирусные технологии компаний «Лаборатория Касперского», Panda и «облачный» антивирус собственной разработки Entensys Zero-Hour лишают вредоносные письма малейших шансов добраться до адресата. И хотя может показаться, что нагромождение защитных модулей должно приводить к крайне низкой производительности, это не так. Вопросы оперативности как раз решают «облачные» технологии. Антивирус Entensys Zero-Hour интегрирован в GateWall Mail Security и не затрачивает ресурсы почтового сервера. Антивирус находится в режиме постоянного мониторинга вирусной активности в Интернете и мгновенно реагирует на эпидемии и возникновение схожих проблем на вверенной ему территории. Использование проактивной защиты и получение актуальной информации о новейших угрозах сродни армейским системам раннего предупреждения, когда атака может быть подавлена в зародыше, так как защита срабатывает еще до вторжения.
Не только безопасность
В совокупности технологии, использованные в GateWall Mail Security, обеспечивают всестороннюю защиту корпоративной почты и конфиденциальных данных. Приложение предоставляет множество функций, обеспечивающих автоматизацию рутинных процессов. Так, при помощи GateWall Mail Security можно настроить систему автоматических ответов, собирать почту с бесплатных почтовых ящиков Gmail, Мail.ru, «Яндекс. Почта» и прочих. Кроме того, программа экономит место на жестких дисках за счет архивации почтовых сообщений.
Алексей Кищенко (kas@usergate.ru) — сотрудник компании Entensys