Обзор DLP-системы InfoWatch Traffic Monitor 6.7

Введение

Информация является одним из важных активов в бизнесе, и ее хищение или утечка может привести к серьезным финансовым потерям, лишить конкурентных преимуществ и нанести непоправимый ущерб деловой репутации компании. В большинстве случаев источниками таких угроз являются недобросовестные сотрудники организаций (инсайдеры). Ущерб от действий инсайдеров становится все более серьезным и исчисляется десятками миллионов рублей.

По результатам глобального исследования утечек конфиденциальной информации Аналитического центра InfoWatch, в 2021 году число утечек информации из компаний в России, по сравнению с 2021 годом, увеличилось на 80%. В 62% случаев причиной утечки стали внутренние нарушители. 93% утечек были связаны с кражей персональных данных и платежной информации.

https://www.youtube.com/watch?v=eeIQw9VMHRc

В связи с этим все больше компаний задумываются о надежной защите своего бизнеса. Для предотвращения утечек применяются решения класса DLP (Data Loss Prevention). В данном обзоре мы подробно рассмотрим обновленную версию DLP-системы InfoWatch Traffic Monitor 6.7 от компании InfoWatch.

InfoWatch Traffic Monitor — высокотехнологичное комплексное решение, которое защищает организации от действий внутренних злоумышленников и обеспечивает надежную защиту корпоративных данных от умышленных или неумышленных утечек (несанкционированного распространения).

Технологии InfoWatch позволяют рассмотреть все документы заказчика, разделив их по категориям, структурировать информационные активы, выявить из большого объема информации конфиденциальные данные. Концепция InfoWatch заключается в том, чтобы контролировать движение информации на всех этапах: от аудита (что и где лежит), выявления контентных маршрутов движения и хранения информации (от кого — кому, какая категория данных передается или хранится) до контроля распространения конфиденциальной информации с помощью DLP-системы и настроенных политик информационной безопасности.

Ранее мы публиковали обзор одной из предыдущих версий продукта InfoWatch Traffic Monitor, с тех пор прошло более двух лет, и за это время он значительно изменился. В данной статье мы сфокусируем внимание на возможностях и улучшениях обновленной версии продукта.

3831 | программный комплекс «infowatch traffic monitor версия 6» в редакциях enterprise и standard | государственный реестр средств защиты информации фстэк 2021

Архитектура решения

InfoWatch Traffic Monitor 6.7 представляет собой модульную многокомпонентную распределенную систему, в которой комбинация используемых модулей может изменяться в зависимости от потребностей заказчика.

Рисунок 1. Архитектура InfoWatch Traffic Monitor 6.7

В состав InfoWatch Traffic Monitor входят следующие компоненты:

InfoWatch Traffic Monitor — модуль для контроля сетевых каналов передачи данных (web-сервисы, почтовые и файловые сервера, сервисы мгновенных сообщений). Передача информации через сетевые каналы передачи данных осуществляется через сетевой шлюз, который также передает перехваченные данные на сервер Traffic Monitor.

Если в потоке передаваемых данных была выявлена конфиденциальная информация и система классифицировала эту передачу как инцидент, автоматически срабатывает режим защиты и запускается процедура реагирования на инцидент. Например, происходит блокирование передачи информации, отправитель получает предупредительное сообщение, или оповещение приходит лицу, ответственному за информационную безопасность. Информация об инциденте вместе с копией перехваченного документа сохраняется в архиве (InfoWatch Forensic Storage).

InfoWatch Device Monitor — модуль для защиты рабочих станций, осуществляющий контроль печати и копирования документов на съемные носители, а также контроль портов и съемных устройств. Программные агенты Device Monitor устанавливаются на рабочих станциях и контролируют локальные процессы обработки информации.

InfoWatch Crawler — модуль для контроля информации в общедоступных сетевых хранилищах и системах документооборота, он осуществляет сканирование и применение политик к информации, хранящейся «в покое», а также поддерживает в актуальном состоянии эталонные документы и выгрузки.

InfoWatch Forensic Storage — специализированное хранилище, содержащее архив всех информационных потоков организации, в том числе нарушения политик безопасности и факты утечек конфиденциальной информации. Является юридически значимой доказательной базой при проведении внутрикорпоративного расследования инцидентов и в ходе судебных разбирательств.

InfoWatch Device Monitor Mobile — модуль контроля мобильных устройств. Модуль контролирует работу сотрудников с электронной почтой, веб-ресурсами, фотографиями и сервисами обмена сообщениями на мобильных устройствах. На мобильное устройство устанавливается программа-агент, которая перехватывает веб-трафик, сообщения и фотографии и отправляет на сервер InfoWatch Device Monitor для дальнейшего анализа, архивации и принятия решения по инциденту.

InfoWatch Vision — модуль визуальной аналитики информационных потоков в режиме реального времени. Модуль автоматически загружает данные из базы данных InfoWatch Traffic Monitor и расширяет возможности DLP-системы для более глубокого анализа подозрительной активности сотрудников и проведения расследований.

Защита объектов интеллектуальной собственности

Интеллектуальная собственность компании защищается с помощью патентов и других правовых методов, однако подобная защита подходит только для тех разработок, которые уже окончательно оформлены и доработаны. В то же время утечка информации может произойти задолго до того, как компания получит патент.

Специфика деятельности организации определяет, какая именно информация подлежит защите. Например, для конструкторского бюро опасность представляет утечка чертежей проектируемых объектов, а для софтверных компаний — утечка исходных кодов.

Чтобы защита была эффективной, технологии анализа информации должны учитывать специфику деятельности организации. Для этого InfoWatch Traffic Monitor предоставляет разные наборы правил обработки информации для различных отраслей экономики: специализированные базы контентной фильтрации, представляющие собой иерархический список категорий из слов и выражений, позволяющий определить тематику и степень конфиденциальности данных.

Рисунок 14. База контентной фильтрации для языков программирования семейства «Си» в InfoWatch Traffic Monitor 6.7

В состав InfoWatch Traffic Monitor входит предустановленная база контентной фильтрации, которая оптимизирована под потребности конкретных сегментов рынка: финансовый, нефтегазовый, телекоммуникационный и другие отрасли. Оптимизация базы под какой-то сегмент рынка означает, что она содержит наиболее распространенные категории, характерные для данной отрасли.

Например, для защиты от утечек исходных кодов вендорам программного обеспечения подойдет база «Исходный код», которая содержит множество языков программирования. Политику можно настроить как на мониторинг, так и на блокировку при попытке несанкционированной передачи или копирования файла, содержащего исходный код.

Рисунок 15. Блокировка копирования на съемный носитель файла *срр

Для компаний, где работают инженеры-конструкторы и проектировщики, чертежи (сегодня это, как правило, файлы формата *dwg, созданные в AutoCAD) составляют существенную часть интеллектуальной собственности. Контроль оборота таких файлов представляет интерес и для режимных предприятий, и для компаний, работающих в сильной конкурентной среде. Форматы инженерных файлов сложны, в них используется огромное количество разнообразных элементов и метаданных.

Рисунок 16. Настройка политики блокировки передачи CAD-документов в InfoWatch Traffic Monitor 6.7

Детектирование конфиденциальной информации в чертежах и 3D-проектах AutoCAD осуществляется благодаря технологии цифровых отпечатков бинарных данных, которую разработчики InfoWatch вывели на новый уровень. В InfoWatch создали технологию, которая не только обрабатывает непосредственно бинарные данные, но также выявляет конфиденциальный файл при любом количестве внесенных в него изменений.

Рисунок 17. Информация о блокировке передачи CAD-документов в InfoWatch Traffic Monitor 6.7

Отметим, что технология бинарных цифровых отпечатков позволяет безошибочно выявлять передачу конфиденциальных данных, однако до сих пор она имела серьезное ограничение: изменения в файле приводили к тому, что он переставал соответствовать своему цифровому отпечатку и вследствие этого больше не мог быть перехвачен системой.

Другой сложностью долгое время оставалось то, что большинство DLP-систем не умеет работать непосредственно с бинарными данными, к которым относятся и файлы AutoCAD. При создании цифрового отпечатка происходит работа с метаданными (названиями деталей чертежа и т. п.) либо другим текстовым окружением.

InfoWatch создала технологию, которая не только обрабатывает непосредственно бинарные данные, но также выявляет конфиденциальный файл при любом количестве внесенных в него изменений. «Чувствительность» системы к количеству модификаций документа зависит от настроек, которые пользователь может выставить по своему усмотрению.

Контроль мобильных устройств и удаленно работающих сотрудников

Интеграция мобильных устройств в корпоративную жизнь размывает периметр корпоративной сети и усложняет контроль чувствительной информации. Компании решают проблему использования мобильных устройств разными путями: выдают сотрудникам корпоративные мобильные устройства для работы (концепция CYOD — choose your own device); разрешают пользоваться личными устройствами в рабочих целях (концепция BYOD — bring your own device), либо вовсе запрещают сотрудникам приносить устройства на работу.

Последний вариант, возможно, наиболее эффективен с точки зрения защиты корпоративных данных, однако наименее гибок и удобен для бизнес-процессов самой компании. Для обеспечения защиты корпоративных данных в моделях CYOD и BYOD InfoWatch разработала два решения в рамках релизов InfoWatch Traffic Monitor:

1. Интеграция с приложением Workspad для контроля движения конфиденциальной информации на личных мобильных устройствах сотрудников.

В основе совместного решения лежит концепция «защищенной витрины», которая реализована благодаря объединению технологий ведущих российских ИБ-вендоров —  WorksPad (МобилитиЛаб), VipNet (ИнфоТекс) и InfoWatch Traffic Monitor. Решение разграничивает корпоративное и персональное пространство на устройстве и не позволяет пользователю переносить рабочую информацию в личную зону. Решение поддерживает операционные системы iOS и Android, независимо от модели устройства и производителя.

Интеграция открывает возможности применения личных устройств для работы с корпоративной информацией и корпоративными ресурсами (электронная почта, документы, веб-ресурсы и т. д.) по модели BYOD:

• Контроль электронной почты на предмет неправомерной передачи конфиденциальной информации.
• Контроль перемещения файлов в мобильное устройство с файлового сервера и SharePoint.
• Контроль документов, содержащихся в корпоративном календаре приложения WorksPad.
• Удаленное безвозвратное уничтожение корпоративных данных с мобильного устройства, если оно было украдено или потеряно.
• Настраиваемая защита корпоративных документов водяными знаками.
• Безопасный обмен документами (файлами) по сгенерированным ссылкам (File Sharing).
• Встроенный браузер INTRANET/INTERNET для защищенного доступа к корпоративным web-ресурсам.
• Шифрование данных контейнера согласно алгоритму ГОСТ и AES.
• Сбор доказательной базы для расследования инцидентов, связанных с мобильными устройствами.

Интеграция с Workspad реализована, начиная с версии InfoWatch Traffic Monitor 6.5.

Рисунок 18. Схема работы совместного решения InfoWatch Traffic Monitor — WorksPad —VipNet

2. Модуль Device Monitor Mobile для контроля движения конфиденциальной информации на корпоративных мобильных устройствах.

Специальный агент устанавливается на мобильное устройство (смартфоны, планшеты) под управлением Android и iOS и контролирует действия пользователя при работе с корпоративными данными, передачу информации по всем популярным каналам — через SMS-сообщения, веб- и почтовый трафик, мессенджеры (в том числе Skype, WhatsApp), облачные хранилища, социальные сети. Device Monitor Mobile также контролирует запуск отдельных приложений и работу фотокамеры мобильного устройства.

Рисунок 19. Схема работыInfoWatch Device Monitor Mobile

В новой версии InfoWatch Traffic Monitor 6.7 модуль InfoWatch Device Monitor Mobile имеет следующие возможности:

1. Поддержка Android 5.x (Lollipop).
2. Поддержка новых моделей устройств.
3. Перехват Skype (текстовые сообщения и передача файлов).

Рисунок 20. Настройка политики безопасности для мобильных устройств в InfoWatch Device Monitor

InfoWatch Traffic Monitor с помощью мобильного агента анализирует изображения, сделанные камерой телефона. «Фотографирование экрана» является любимым способом обхода средств защиты злоумышленниками. Но теперь, если сотрудник сфотографировал конфиденциальный документ, InfoWatch Traffic Monitor мгновенно отреагирует на это событие. Технология сработает даже тогда, когда снимок не передается вовне по каналам связи, а просто хранится в памяти устройства.

Рисунок 21. Теневая копия снимка банковской карты, полученного с камеры мобильного устройства

Кроме того, InfoWatch Traffic Monitor обеспечивает защиту конфиденциальной информации, даже когда сотрудники компании работают удаленно, через технологию удаленного рабочего стола. Для этого в InfoWatch Traffic Monitor реализована поддержка терминальных сред и тонких клиентов Citrix XenApp и Microsoft RDP.

Новые возможности и улучшения infowatch traffic monitor 6.7

Чуть более чем за два года InfoWatch выпустила сразу три новые версии InfoWatch Traffic Monitor — 6.1, 6.5 и 6.7.  По сравнению с предыдущей рассматриваемой версией (5.1), продукт претерпел ряд важных изменений и улучшений, которые направлены на повышение защиты конфиденциальных данных, удобства работы с системой, расширение отчетности по событиям и инцидентам информационной безопасности, повышение производительности системы.

Разрабатывая новую версию, создатели продукта опирались на многолетний опыт пилотных проектов и промышленных внедрений InfoWatch. Поэтому в последних версиях изменился сам подход к обеспечению внутренней безопасности: в центре внимания InfoWatch Traffic Monitor — сотрудник организации в контексте информации, к которой он имеет полноценный доступ, а также устройств, приложений и бизнес-систем, в которых он работает с этой информацией.

Несколько лет назад ценность DLP-систем определялась количеством каналов перехвата данных и технологий анализа. С появлением мобильных устройств и технологий удаленной работы корпоративный периметр размывается, а бизнес-информация перемещается в бизнес-системы и приложения (CRM, ERP, системы документооборота, BI и т. д.).

В новой версии InfoWatch Traffic Monitor были реализованы такие возможности, как контроль корпоративной информации на мобильных устройствах (личных и корпоративных), контроль информационных потоков, генерируемых в рамках бизнес-систем компании (создание партнерской экосистемы благодаря развитию SDK), развитие аналитических возможностей и визуализации данных, собранных базой InfoWatch Traffic Monitor (модуль InfoWatch Vision).

Новые возможности, добавленные в версии 6.1:

• Разработан модуль контроля мобильных устройств InfoWatch Device Monitor Mobile, который обеспечивает полноценную защиту от внутренних угроз и утечек через мобильные устройства на базе Android и iOS.
• Реализована поддержка терминальных сред и тонких клиентов Citrix XenApp и Microsoft RDP.
• Реализован принципиально новый подход к классификации данных — комбинированные объекты защиты. Создание в системе комбинированных объектов защиты позволяет классифицировать образы документов и сложные типы данных, а также комбинировать различные технологии анализа данных. Например, классифицировать отсканированные договоры, заверенные печатью. Комбинированные объекты защиты обеспечивают точное детектирование коммерческой тайны в потоке трафика и минимизируют ложные срабатывания.
• Появились новые инструменты для расследования инцидентов:
  • отчеты для проведения расследований инцидентов;
  • настраиваемые дашборды для оперативного принятия решений;
  • визуализация по различным срезам данных.
• Обеспечен комплексный подход по защите клиентских баз благодаря развитию технологий анализа и функциональных возможностей:
  • производительность технологии «Детектор выгрузок из баз данных» выросла в 20 раз;
  • автоматическая синхронизация эталонного отпечатка базы с источником данных;
  • интеграция с источниками данными, корпоративными бизнес-системами (CRM, ERP и т. д.).
• Поддержка базы данных PostgreSQL (наряду с Oracle) и замена технологии Oracle Text на российский поисковый движок Sphinx.
• Появилось больше возможностей по интеграции со сторонними бизнес-системами и ИТ- и ИБ-решениями (развитие SDK).
• Усовершенствована собственная защита системы — скрытие и защита от удаления агента InfoWatch Device Monitor, аудит действий администратора системы.

Новые возможности, добавленные в версии 6.5:

• Реализована возможность блокировки утечек конфиденциальной информации на рабочих станциях.
• Добавлена возможность настройки запрета операций в приложениях: копирование через буфер обмена, отправка на печать и снятие скриншотов.
• Появилась возможность контролировать данные, передаваемые с помощью буфера обмена, в том числе на неконтролируемые машины в терминальных сессиях, находящиеся за периметром компании.
• Усовершенствован функционал работы со снимками экрана:
  • фильтрация снимков по конкретному сотруднику или рабочей станции,
  • фильтрация по активному приложению.
• Добавлена возможность отслеживать передачу документов, содержащих оттиски треугольных печатей организации.

Новые возможности, добавленные в версии 6.7:

В версии 6.7 реализована поддержка Astra Linux 1.5 Special Edition релиз «Смоленск» (агент и сервер Traffic Monitor). Поддерживается следующие функциональности:

Общее впечатление

Рассматриваемая система, как и любая другая, не лишена недостатков. К сожалению, до сих пор остаются некоторые «детские болячки», тянущиеся с ранних версий (например, перечисленные проблемы Person Monitor’а); некоторые решения выглядят спорно – не всегда понятно, баг это или фича (разобщённость консолей и использование разных БД для хранения событий).

Когда-то мы начали изучение рынка DLP именно с InfoWatch Traffic Monitor, поэтому минусы сразу бросились в глаза:

Однако, продолжив изучать рынок дальше, обнаружили множество плюсов (воистину, всё познаётся в сравнении):

При подготовке статьи мы опросили своих коллег – практикующих аналитиков, какое впечатление на них произвела система DLP от InfoWatch. Суммируя все сказанное, выделим несколько плюсов и минусов.

Минусы:

Плюсы:

Из минусов – да, увы, это многоконсольность и не всегда логичное разделение функционала между ними. Это не только неудобно, но и совсем неэффективно, когда нужно собрать доказательную базу для расследования, а данные в разных базах, и привести их к одному виду средствами самой системы никак нельзя. Много лишней ручной работы аналитика или безопасника.

Нас порадовало стремление вендора реализовывать доработки для потенциальных клиентов, т.е. без наличия обязывающих договорных отношений. Это абсолютно реальный пример: через полгода после обсуждения кучи доработок, заявленных нами на пилоте в одном из клиентов, мы увидели их в реализованном функционале, что было крайне приятно.

Причем, IW один из немногих вендоров, который внимательно относится к обсуждению таких проблем, не отфутболивает по тегу – а зачем это нужно, вы первые, кто спрашивает об этом и т.п. (Саша Клевцов, передаем тебе отдельный привет и самые лучшие пожелания :)).

В сухом остатке имеем достаточно сбалансированную систему, закрывающую большинство требований самых занудных заказчиков и не обладающую завышенными системными требованиями. InfoWatch последовательно «прокачивает» свой комплекс, добавляя новые крутые функции. Остаётся только аккуратно сшить их между собой :).

Анна Попова, руководитель Блока DLP, ГК ИнфосекьюритиНикита Шевченко, руководитель группы инженерного сопровождения Блока DLP, ГК Инфосекьюрити

Предотвращение утечек в момент их реализации

Основными отличиями новой версии являются возможность блокировки утечек конфиденциальной информации на рабочих станциях, запрет операций при работе сотрудников в приложениях с критичными для бизнеса данными, запрет операций копирования-вставки данных с помощью буфера обмена и снимков экрана.

Блокирование утечек конфиденциальной информации на рабочей станции

InfoWatch Traffic Monitor блокирует передачу данных с компьютера сотрудника при обнаружении в них защищаемых данных. Это позволяет офицеру безопасности предотвращать внутренние угрозы в момент их реализации. Для анализа данных на агенте при попытке отправки их с компьютера пользователя система использует технологии лингвистического анализа, детектирования текстовых объектов, а также технологию комбинированных объектов защиты, что позволяет распознать сложные структуры данных, исключить ложные срабатывания и обеспечить высокую точность срабатывания, не нарушая работу бизнес-процессов компании.

Система также принимает решение о блокировке по сигнатуре файла, например, предотвратит запись Exсel-таблицы на съемное устройство или передачу конструкторской документации в облачное хранилище. Для применения политик блокировки доступны все ранее разработанные базы контентной фильтрации, и заказчик может сам выбрать, какая должна срабатывать на агенте при блокировке инцидента. Это помогает настроить правила блокировки наиболее точным образом и сократить число ложноположительных срабатываний.

Рисунок 2. Настройка политики блокировки по сигнатуре файла в InfoWatch Traffic Monitor 6.7

В качестве примера покажем, как работает политика блокировки на агенте по итогам срабатывания технологий детектора текстовых объектов и лингвистического анализа. В примере используется договор банковской гарантии, которому соответствует предустановленная банковская БКФ.

В системе создана политика на объект защиты, для которого задано условие срабатывания при заполненном поле ИНН. На скриншотах ниже демонстрируется отправка договора с заполненным поле ИНН на съемный носитель. В этом случае система блокирует передачу файла, а при передаче договора с незаполненным поле ИНН — политика не срабатывает и операция разрешается.

Рисунки 3-4. Попытка копирования договора банковской гарантии на съемный носитель

При попытке копирования таблицы на флешку, в трее выводится сообщение о нарушении политики безопасности, передача файла блокируется. Событие фиксируется в журнале и остается доступным для ознакомления офицером безопасности в консоли InfoWatch Traffic Monitor.

Рисунок 5. Срабатывание политики блокировки при попытке копирования на съемный носитель (сообщение в трее)

Запрет операций при работе в бизнес-приложениях

InfoWatch Traffic Monitor позволяет создавать правила запрета на выполнение отдельных операций при работе в бизнес-приложениях: копирование через буфер обмена, отправку на печать и снятие скриншотов. Возможность тонко разграничивать права отдельных групп сотрудников особенно актуальна для контроля извлечения данных из бизнес-систем и автоматизированных рабочих мест в системах АСУ ТП.

В качестве примера покажем, как работает политика запрета на снятие снимков экрана. В консоли InfoWatch Device Monitor создадим правило «Правило запретов скриншотов в Excel». В нем укажем запрет на создание скриншотов только в приложении Microsoft Excel.

Рисунок 6. Настройка политики запрета на снятие снимков экрана из Excel в модуле InfoWatch Device Monitor

На рабочей станции запустим Excel и попробуем сделать скриншот. При попытке сделать снимок экрана в трее выводится сообщение о нарушении политики безопасности, операция блокируется.

Рисунок 7. Срабатывание политики при попытке сделать снимок экрана в Excel

Перехват операций копирования-вставки данных с помощью буфера обмена

В InfoWatch Traffic Monitor 6.7 появилась возможность контролировать данные, передаваемые с помощью буфера обмена, в том числе на неконтролируемые машины в терминальных сессиях, находящиеся за периметром компании. Новая функциональность позволяет отслеживать перемещение конфиденциальной информации по наиболее уязвимым и критичным маршрутам, исключая операции, предусмотренные производственной деятельностью.

Рисунок 8. Настройка политики запрета использования буфера в Excel в модуле InfoWatch Device Monitor

Рисунок 9. Срабатывание политики при попытке скопировать данные из таблицы Excel

Предотвращение утечек информации из баз данных

Сведения о контрагентах, партнерах, клиентах, собранные в различных базах, являются одним из наиболее ценных активов для любой организации. При этом ФИО контрагентов, названия компаний-контрагентов, адреса и иные сведения из этих баз представляют собой особый тип данных, не поддающийся формализации.

В InfoWatch Traffic Monitor для их обнаружения создается эталонный отпечаток базы (может формироваться из нескольких источников — системы CRM, ERP, файлы Excel и пр.). В потоке трафика система анализирует каждое сообщение (письма, публикации в веб, файлы, сохраненные в облаке, и пр.), сравнивает обнаруженные в этих сообщениях текстовые фрагменты с данными из эталонного отпечатка. Если система находит совпадение, офицер безопасности получает уведомление об инциденте.

Рисунок 10. Настройка политики запрета выгрузок из БД в InfoWatch Traffic Monitor 6.7

Описанная технология получила название «Детектор выгрузок из баз данных». Она позволяет предотвратить утечку сведений о контрагентах в результате ошибок или злонамеренных действий сотрудников независимо от того, передается вся клиентская база или ее фрагмент.

Рисунок 11. Информация о блокировке пересылки базы данных в InfoWatch Traffic Monitor 6.7

Отметим, что благодаря доработке математических алгоритмов поиска и сравнения, лежащих в основе «Детектора выгрузок из баз данных», удалось добиться увеличения производительности технологии в 20 раз. На клиентской базе объемом 5 млн строк (записей, содержащих сведения о контрагентах) сообщения анализируются со скоростью до 54 млн знаков в секунду.

InfoWatch Traffic Monitor напрямую подключается к защищаемым данным (к источникам — системам ERP, CRM), что позволяет постоянно поддерживать эталонный отпечаток базы в актуальном состоянии

Предотвращение утечек персональных данных

Для выявления утечек персональных данных и иной формализованной (например, в виде анкет) информации применяется технология «Детектор заполненных бланков». Производительность этой технологии в новой версии выросла в 28 раз с возможностью одновременного контроля 150 анкет.

Для защиты персональных данных также работает «Детектор графических объектов». В систему можно завести различные графические объекты, например паспорта, кредитные карты, географические карты, чертежи и т. д.

Для повышения эффективности детектирования персональных данных и снижения числа ложноположительных срабатываний появилась возможность создания комбинированных объектов защиты. Например, в политике защиты персональных данных можно задать условие срабатывания для бланков, в которых заполнены поля «номер паспорта», «адрес», «номер подразделения, выдавшего паспорт». В отношении бланков, в которых данные поля не заполнены, политика срабатывать не будет.

Рисунок 12. Настройка политики запрета передачи паспортов в InfoWatch Traffic Monitor 6.7

Рисунок 13. Информация о блокировке передачи паспортных данных по электронной почте во вкладке «События» в InfoWatch Traffic Monitor 6.7

Расследование инцидентов информационной безопасности

Новая система отчетности InfoWatch Traffic Monitor позволяет собрать большой объем данных и представить всю необходимую информацию для офицера безопасности и руководителей бизнес-подразделений в виде графиков и отчетов.

Например, ознакомиться со статистикой о нарушениях и нарушителях можно в консоли InfoWatch Traffic Monitor в разделе «Сводка».

Рисунок 22. Настройка отчетов и управление визуализацией с помощью виджетовв консоли InfoWatch Traffic Monitor 6.7

Информация отображается на виджетах. Для эргономичного использования рабочей области виджеты располагаются на панелях. Панели позволяют группировать виджеты, объединенные общей тематикой. Офицер безопасности может настроить консоль управления под себя и получать сводку об инцидентах без потери времени. При этом каждый виджет обладает дополнительными настройками.

Рисунок 23. Статистика о нарушениях и нарушителях в разделе «Сводка» в InfoWatch Traffic Monitor 6.7

Виджеты удобно использовать для ежедневного мониторинга, так как они позволяют быстро просмотреть статистику по событиям. Например:

• Виджет «Динамика нарушений» отображает количественные изменения по выбранным типам нарушений за определенный период времени.
• Виджет «Топ нарушителей» отображает список пользователей, совершающих наибольшее количество нарушений (высокого, среднего и низкого уровня) за выбранный период времени.
• Виджет «Количество нарушений» показывает, какое число нарушений для каждого типа правил совершено за исследуемый период времени.
• «Статистика по политикам» отображает количество нарушений по заведенным в организации политикам ИБ — правила передачи, копирования и хранения конфиденциальных данных.

Рисунок 24. Статистика о нарушениях и нарушителях в разделе «Сводка» в InfoWatch Traffic Monitor 6.7

Кроме того, в InfoWatch Traffic Monitor 6.7 усовершенствована работа со снимками экрана. Теперь возможна фильтрация снимков по конкретному сотруднику или рабочей станции, а также фильтрация по активному приложению.

Рисунок 25. Карточка сотрудника в разделе «Персоны» в InfoWatch Traffic Monitor 6.7

Благодаря фильтрации можно смотреть снимки экрана работы конкретного сотрудника, независимо от места и устройства, за которым он работал, или посмотреть скриншоты с выбранной рабочей станции без привязки к пользователю.

Рисунок 26. Раздел «Снимки экрана» в карточке сотрудника в InfoWatch Traffic Monitor 6.7

Если необходимо детально рассмотреть инцидент, можно исследовать снимки, сделанные до и после события — это позволит быстро восстановить картину произошедшего.

Система infowatch arma

Системные требования и политика лицензирования

Системные требования InfoWatch Traffic Monitor напрямую зависят от размера инфраструктуры компании. InfoWatch Traffic Monitor подходит как для крупных организаций с территориально-распределенной структурой, так и небольших компаний и филиалов. Для этого разработано две версии продукта:

Таблица 1. Системные требования InfoWatch Traffic Monitor Enterprise

Таблица 2. Системные требования InfoWatch Traffic Monitor Standard Solution

InfoWatch Traffic Monitor может поставляться в виде программного обеспечения (устанавливается на оборудовании клиента) и как готовый программно-аппаратный комплекс.

Политика лицензированияInfoWatch Traffic Monitor 6.7

Гибкая схема лицензирования InfoWatch Traffic Monitor предлагает заказчикам выбирать только те модули, в которых имеется потребность, с возможностью последующего наращивания функциональности системы. Продукт лицензируется по рабочим станциям и перехватчикам.

Соответствие требованиям регуляторов

InfoWatch Traffic Monitor позволяет компаниям соответствовать требованиям отраслевых стандартов и законодательства:

• 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• 152-ФЗ «О персональных данных»;
• Требования по защите коммерческой тайны (98-ФЗ);
• Требования по защите инсайдерской информации (224-ФЗ);
• Требования по защите данных в Национальной платежной системе (161-ФЗ, ПП-584, 382-П и другие);
• Приказы ФСТЭК России №17 (ГИС), №21 (ИСПДн);
• Сертификат Министерства обороны РФ по второму уровню контроля недекларированных возможностей (НДВ-2);
• Стандарт Банка России СТО БР ИББС-1.0-2021 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» и РС БР ИББС-2.9-2021 «Предотвращение утечек информации»;
• Комплексный международный стандарт по информационной безопасности ISO 27001;
• Международные нормативно-правовые акты и стандарты (Health Insurance Portability and Accountability Act (HIPAA), Sarbanes-Oxley Act of 2002 и т. д.).

InfoWatch Traffic Monitor включен в реестр отечественного программного обеспечения, а также сертифицирован в системе сертификации ФСТЭК России (Сертификат № 3205 на соответствие ТУ и 4 уровню РД НДВ). Наличие сертификата дает возможность использовать InfoWatch Traffic Monitor в составе системы защиты информационных систем, где применение сертифицированных продуктов обязательно, например, для защиты персональных данных (ИСПДн), в государственных информационных системах (ГИС).

Функционал блокировки

Так как система носит гордый статус DLP (что, напомним, означает Data Leakage Prevention – предотвращение утечки данных), в первую очередь рассмотрим «классический» функционал для таких систем – предотвращение. Что же может предложить нам рассматриваемый программный комплекс?

Даже в минимальной инсталляции (Traffic Monitor, Device Monitor) функционал достаточно богат: возможна блокировка почты, предотвращение записи на съёмные носители по результатам контентного анализа или по белым спискам носителей, запрет запуска приложений, запрет использования FTP.

Неподготовленному пользователю будет сперва непросто разобраться во всём многообразии различных консолей управления: так, одной из особенностей при работе с системой является необходимость «включения» некоторых каналов перехвата в Device Monitor.

В целом, функционал предотвращения не вызывает вопросов, здесь есть, где разгуляться; хотя самым требовательным клиентам, наверное, всё же придётся обратиться к более гибким конкурирующим продуктам. Что касается функционала учета рабочего времени, то в IWTM он реализован оригинальным, но достаточно удобным способом.

Функциональные возможности и поддерживаемые технологии

Функциональные возможности продукта и решаемые задачи

InfoWatch Traffic Monitor обладает комплексом функциональных возможностей и решает следующие задачи:

• Позволяет выявить сговоры, шантаж, мошенничество, воровство и коррупцию, злоумышленников, лиц, занимающихся промышленным шпионажем, а также круг причастных лиц.
• Помогает осуществлять бизнес-разведку с целью контроля деятельности персонала и определения степени его лояльности к компании.
• Предотвращает утечки конфиденциальной информации (банковская тайна, коммерческая и финансовая информация, персональные данные, секреты производства, исходный код) и защищает организации от неправомерных действий сотрудников (распространение нежелательной информации от лица компании, несанкционированное взаимодействие с прессой, распространение секретных сведений).
• Позволяет сформировать доказательную базу для проведения расследований инцидентов информационной безопасности. Предотвращение утечек и выявление нарушителей осуществляется через мониторинг, перехват и анализ всех информационных потоков организации, с учетом установленных политик информационной безопасности и правил. Продукт производит мониторинг данных, которые передаются через почтовые системы, web, системы обмена сообщениями, распечатываются и копируются на съемные носители.

Перехваченная информация проходит многоуровневый анализ. Вердикт о разрешении или блокировке передачи данных выносится автоматически благодаря технологиям, которые позволяют точно детектировать конфиденциальные данные «на лету», а также автоматически классифицировать информацию.

• Лингвистический анализ — определение тематики и содержания текста по терминам (словам и словосочетаниям), найденным в тексте.
• Детектор выгрузок из баз данных — поиск цитат из заданной базы данных; выгрузками из БД могут быть списки заработных плат сотрудников, другие личные данные и проч.
• Детектор текстовых объектов — поиск текстовых объектов, соответствующих заданным шаблонам.
• Детектирование цифровых отпечатков —поиск фрагментов текста, принадлежащих к заранее заданным эталонным документам.
• Детектирование заполненных бланков — поиск бланков установленного шаблона. Бланками могут быть различные анкеты, квитанции и проч. Cистема также детектирует бланки, заполненные от руки.
• Детектирование паспортов граждан РФ — поиск изображений паспортов граждан.
• Детектирование печатей — поиск изображения печати установленного вида: круглые и треугольные печати, независимо от угла поворота, смещения, масштаба, яркости изображения и наличия на ней шумов (текст, краска, потертости и т. д.).
• Детектор графических объектов — технология распознает в изображениях заранее предустановленные графические объекты и осуществляет поиск изображений, соответствующих какой-либо из предустановленных категорий (паспорта, кредитные карты).
• OCR (optical character recognition) — мгновенное распознавание текста в изображениях — контроль процессов печати и сканирования документов, перемещения отсканированных копий внутри организации (со сканера на ПК, с ПК на принтер) и за ее пределы (отправка отсканированных копий по электронной почте, через сервисы мгновенных сообщений и пр.).
• Сигнатурный анализ файла — категории сигнатур, с помощью которых правила File Monitor могут распространяться на заданные форматы файлов.
• Комбинированные объекты защиты — позволяет классифицировать образы документов и сложные типы данных, а также комбинировать различные технологии анализа данных.

Технологии анализа применяются как на уровне сетевого шлюза, так и на конечных устройствах, включая персональные компьютеры, ноутбуки и мобильные устройства. Это помогает мгновенно блокировать несанкционированные действия сотрудников: хищение, разглашение, модификацию конфиденциальной информации.

Все перехваченные данные помещаются в централизованный архив системы. Сохранение всей информации в архиве позволяет отследить маршруты движения информации, случаи нецелевого использования корпоративных ресурсов. Шаблоны отчетов помогут собрать и оформить доказательства для расследования инцидентов и проводить анализ утечек конфиденциальной информации.

Контролируемые каналы и протоколы

Каналы блокировки:

• Съемные носители и внешние устройства: USB, HDD, FireWire, Wi-Fi, Bluetooth, подключение мобильных устройств (MTP).
• Локальные и сетевые устройства печати.
• Запуск и копирование в буфер обмена, снимки экрана, печать, облачные хранилища.
• Подключение к внешним сетям.

Каналы перехвата:

Выводы

В данном обзоре мы познакомились с обновленной версией комплексного решения для защиты от внутренних угроз и неправомерных действий сотрудников — DLP-системой InfoWatch Traffic Monitor 6.7. Продукт представляет собой мощный набор инструментов для контроля каналов передачи данных и предотвращения утечек конфиденциальной информации.

Применение системы позволяет существенно снизить риски утечки информации и возникновения инцидентов, связанных с неправомерными действиями сотрудников организации, в том числе при использовании мобильных устройств в корпоративной среде.  InfoWatch Traffic Monitor 6.

Согласно исследованию аналитического агентства Gartner, компания InfoWatch ежегодно входит в число лучших разработчиков DLP-систем (Magic Quadrant for Enterprise Data Loss Prevention) и второй год подряд признается ведущим российским DLP-вендором на мировом рынке.

Аналитики Gartner отмечают запатентованные технологии лингвистического анализа InfoWatch, аналитические возможности системы и широкий спектр языковой поддержки InfoWatch Traffic Monitor, позволяющие выявлять нелояльно настроенных сотрудников и факты внутреннего фрода в организации, включая мошенничество, шпионаж, нецелевое использование ресурсов и несанкционированные действия с информацией ограниченного доступа.

Кроме того, InfoWatch Traffic Monitor занимает лидирующую позицию российском рынке и пользуется хорошим спросом. Об этом мы уже подробно рассказывали в статье «Анализ рынка систем защиты от утечек конфиденциальных данных (DLP) в России 2021-2021».

Также к преимуществам InfoWatch Traffic Monitor можно отнести его модульную архитектуру.  Комплектация и состав продукта определяются потребностями бизнеса. Это позволяет клиентам внедрять только те модули, в которых есть потребность. В случае необходимости расширения функционала системы клиент может просто докупить необходимые модули и лицензии и с легкостью их интегрировать в уже функционирующую инфраструктуру безопасности InfoWatch Traffic Monitor.

К недостаткам можно отнести только отсутствие агента для операционной системы семейства macOS, а также поддержку работы веб-консоли InfoWatch Traffic Monitor только с браузером Google Chrome.

Достоинства:

• Российское решение для защиты от утечек информации и контроля информационных потоков.
• Наличие сертификата соответствия требованиям безопасности ФСТЭК России.
• Гибкая система лицензирования продукта — позволяет приобрести только необходимые модули, что в итоге снижает общую стоимость решения.
• Высокая скорость анализа данных.
• Поддержка большого числа протоколов для перехвата и анализа данных.
• Контроль мобильных устройств и удаленных пользователей.
• Защита CAD-файлов.
• Блокировка утечек непосредственно на рабочей станции.
• Широкие возможности интеграции со сторонними решениями и сервисами.
• Гибкая система построения отчетности, в том числе возможность создания графических отчетов.
• Настройка политик безопасности для рабочих станций осуществляется с помощью единого центра управления — консоли InfoWatch Traffic Monitor.

 Недостатки:

• Веб-консоль InfoWatch Traffic Monitor поддерживает работу только с браузером Google Chrome.
• Отсутствие поддержки операционной системы macOS