Решения, предназначенные для предотвращения утечек данных с корпоративных компьютеров, а также виртуализованных рабочих сред и приложений Windows, относящиеся к высшему классу решений Endpoint DLP, сегодня должны иметь встроенный резидентный модуль, реализующий технологию глубокого анализа и фильтрации сетевых пакетов, deep packet inspection (DPI), непосредственно на защищаемом компьютере. Для большинства программ мгновенного обмена сообщениями, или мессенджеров, такую проверку способен выполнять агент комплекса DeviceLock DLP Suite, в котором реализованы моментальный анализ и фильтрация содержимого сообщений в процессе обмена, то есть в чате. Примером может служить практически полный контроль мессенджера Skype во множестве его вариаций, в том числе Skype for Business, когда агент DeviceLock контролирует права пользователей Skype делать и принимать аудио- и видеозвонки, используя в качестве параметров их учетные записи в системе, членство в группах и идентификаторы Skype. Кроме того, он анализирует содержимое переписки и передаваемых файлов в реальном времени с применением соответствующих политик DLP, как показано на экране 1.
Экран 1. Назначение политик в консоли DeviceLock DLP |
Если до недавнего времени специалисты службы информационной безопасности были озабочены решением задачи контроля коммуникаций в Skype, то сегодня наряду с этим каналом (все еще актуальным и создающим объективную угрозу утечек данных) им приходится учитывать риски потери информации через другие популярные мессенджеры — WhatsApp, Viber, Telegram. В случае с WhatsApp, отличительной особенностью которого является качественно реализованное проприетарное шифрование передаваемых данных, DeviceLock DLP позволяет задавать индивидуальные (или по группам пользователей) политики доступа к WhatsApp Web, а также протоколировать факты его использования. Для мессенджера Viber реализована возможность селективного контроля и протоколирования для чатов и передаваемых файлов, включая теневое копирование, а также протоколирования соединений и голосовых коммуникаций через Viber. Селективность контроля в данном случае означает возможность не только ограничения доступа к мессенджеру отдельным пользователям и группам, но и запрета передачи файлов при разрешении на использование чата.
Особенности контроля Telegram в DeviceLock DLP
Возможности контроля мессенджера Telegram в DeviceLock намного шире, чем для WhatsApp и Viber. Прежде всего, детектируется и контролируется использование как веб-версии Telegram, так и приложения Telegram Desktop. Для веб-версии DeviceLock DLP предоставляет уникальную среди DLP-решений возможность задавать политики контроля доступа и протоколирование соединений. Для версии Telegram Desktop возможно, помимо селективного контроля доступа, задать детальное событийное протоколирование и создание теневых копий для всех чатов, вне зависимости от того, канал это, мультичат или чат между двумя собеседниками. Другой уникальной возможностью является асинхронный контентный анализ сообщений и файлов, отправляемых через Telegram Desktop, позволяющий обеспечить оперативную реакцию на специфическое содержимое отправляемых данных (экран 2). Наконец, DeviceLock DLP способен извлекать из переписки в Telegram и сохранять в журнале реальные имена отправителей и получателей для целей протоколирования и вывода в динамическом графе связей.
Экран 2. Правила аудита в DeviceLock DLP |
Использование цифровых отпечатков в контентной фильтрации
Метод использования цифровых отпечатков в системах DLP, в основе которого лежит сопоставление документов или файлов с так называемыми цифровыми отпечатками — наборами буквенно-цифровых строк (хешей), является одним из наиболее точных методов идентификации и защиты информации. Особенно он эффективен для идентификации незначительно измененных типовых документов. Так, этот метод позволяет идентифицировать заполненные контракты, отличающиеся только данными одной из сторон, или же может помочь в идентификации финансовых данных, хранящихся в документах Microsoft Office, бизнес-информации, содержащейся в файлах PDF, а также исходного кода, хранящегося в текстовых файлах. Кроме того, цифровые отпечатки можно использовать для идентификации и защиты нетекстовых файлов (таких, как изображения, чертежи и мультимедийные файлы), а также для идентификации данных, которые кто-то пытается скопировать из одного файла в другой. С помощью цифровых отпечатков можно обнаруживать как полностью скопированные документы, так и отдельные фрагменты, даже если в документ были внесены изменения путем добавления «мусорного» текста (экран 3).
Экран 3. Условия срабатывания цифровых отпечатков |
DeviceLock DLP снимает цифровые отпечатки с образцов конфиденциальных документов, сохраняя их в базе данных отпечатков сервера DeviceLock Enterprise Server, а затем сравнивает с цифровыми отпечатками проверяемых документов. Если процент «соответствия отпечатков» превышает требуемый порог в соответствии с настройкой, проверяемые документы считаются конфиденциальными и к ним применяются заданные в контентно-зависимом правиле действия. Правила, построенные на базе контентных групп Document Fingerprints, могут применяться как к устройствам, так и к сетевым протоколам, что позволяет задействовать цифровые отпечатки для управления разрешениями на доступ, избирательного теневого копирования и задач обнаружения содержимого в асинхронном режиме.
При создании правил используется классификация хранимых цифровых отпечатков по уровням важности или секретности (например, Restricted, Confidential, Top Secret). DeviceLock предоставляет ряд встроенных классификаций и позволяет добавлять дополнительные пользовательские классификации.
Обработка образцов информации и снятие отпечатков осуществляется задачами на сервере DeviceLock Enterprise Server. Каждая такая задача относится к определенной классификации и присваивает ее тем отпечаткам, которые создает. При каждом запуске задача может проверять файлы в определенной папке. Для каждого файла она сначала создает его отпечатки и сравнивает их с отпечатками из базы данных. Проверка же передаваемой информации выполняется агентом DeviceLock локально, при этом агент запрашивает сервер для оценки отпечатков проверяемой информации (экран 4).
Экран 4. Задача формирования цифровых отпечатков на сервере DeviceLock Enterprise Server |
Функция использования цифровых отпечатков для контентного анализа информации, передаваемой по сети, печатаемых или сохраняемых на внешних накопителях, будет реализована в DeviceLock DLP версии 8.3 (первая бета-версия доступна для ознакомления на сайте www.devicelock.com). Программный комплекс DeviceLock DLP Suite предоставляет для эффективного решения задачи защиты от утечек данных полнофункциональный набор контекстных и контентно-зависимых механизмов эффективного контроля используемых (data-in-use), передаваемых (data-in-motion) и хранимых (data-at-rest) данных. Продукт работает в режиме реального времени, с обеспечением защиты непосредственно на пользовательских компьютерах. Исполнительный агент DeviceLock, функционирующий на уровне ядра операционной системы, поддерживает широкий набор контекстных методов предотвращения утечек данных с защищаемых пользовательских компьютеров через их локальные интерфейсы и порты, периферийные, виртуальные и перенаправленные в терминальные сессии устройства ввода-вывода, системный буфер обмена, снимки экрана, а также каналы сетевых коммуникаций. Преимущество агента DeviceLock перед резидентными DLP-агентами в других DLP-решениях, помимо возможности контентного анализа и фильтрации в реальном времени в целях предотвращения утечек данных, состоит в его защищенности от попыток изменения исполняемых политик, отключения, удаления и иных деструктивных действий со стороны не только обычных пользователей, но и локальных системных администраторов.