Обзор Защита информации и бизнеса от инсайдеров подготовлен
CNewsAnalytics

Аппаратные средства позволяют сэкономить на системе защиты от утечек

Аппаратные средства позволяют сэкономить на системе защиты от утечекИспользование аппаратных средств часто позволяет значительно сэкономить на системе защиты от утечек. Это в первую очередь касается крупных организаций, имеющих достаточно сложную с точки зрения топологии вычислительную сеть, территориально распределенные филиалы и одну или несколько штаб-квартир.

Конфиденциальная информация может покинуть корпоративный периметр самыми разными путями. Среди наиболее распространенных каналов утечки — мобильные устройства или накопители, электронная почта и интернет. Таким образом, защита требует комплексного подхода — учета всех возможных коммуникационных каналов, обеспечение физической безопасности, шифрование резервных копий и информации, покидающей корпоративный периметр, а также целого ряда организационных мероприятий (создание политики безопасности, разрешение юридических вопросов и модификация трудовых договоров, тренинги и т.д.).

Сегодня на рынке существует довольно много решений, позволяющих детектировать и предотвращать утечку конфиденциальной информации по тем или иным каналам. Однако комплексных решений, покрывающих все существующие каналы, значительно меньше. Некоторые разработчики предоставляют продукты, например, только лишь для контроля над почтовым трафиком или коммуникационными портами рабочей станции. Такой подход обладает всего одним преимуществом: заказчик покупает автономный продукт, который требует минимум усилий при внедрении и сопровождении. Тем не менее, слабых сторон намного больше: компания должна сама заботиться об оставшихся непокрытыми каналах передачи информации (что часто просто невозможно), а также самостоятельно проводить целый комплекс организационных мероприятий (для чего штатным специалистам часто не хватает опыта и знаний). Другими словами, при выборе конкретного решения заказчик должен обратить самое пристальное внимание на диапазон покрываемых каналов утечки и наличие важных сопроводительных услуг.

Важным параметром, который необходимо учитывать, является наличие или отсутствие аппаратных модулей в комплексном решении или просто автономном продукте. Самые продвинутые поставщики сегодня предлагают на выбор как программные компоненты, так и аппаратные для контроля над теми коммуникационными каналами, над которыми это возможно. Например, ни один разработчик не предлагает сегодня аппаратных модулей для предотвращения утечек через ресурсы рабочих станций (порты, принтеры, приводы и т.д.), так как эффективность этой технологии сомнительна. Однако обеспечить контроль над почтовым или web- трафиком с помощью отдельного устройства, а не выделенного сервера вполне логично.

Дополнительным преимуществом такого подхода является возможность организации более эффективной защиты информационных активов крупной компании, имеющей обширную сеть филиалов. В этом случае можно настроить и протестировать аппаратные компоненты в штаб-квартире, а потом быстро внедрить их в филиалах. В отличие от программных модулей, автономные устройства могут быть легко развернуты и не требуют серьезного сопровождения (следовательно, филиалу не обязательно иметь для этих целей специальных сотрудников). Также в большинстве случаев аппаратное решение обладает более высокой производительностью. Однако программные компоненты, работающие на выделенных серверах, в некоторых случаях обладают большей гибкостью и возможностями более тонкой настройки. Кроме того, программные модули чаще всего обходятся значительно дешевле аппаратных. Поэтому к выбору того или иного решения необходимо подходить более чем основательно.

Комплексное решение InfoWatch

Российская компания InfoWatch поставляет комплексное решение InfoWatch Enterprise Solution, предназначенное для выявления и предотвращения утечек конфиденциальной информации, а также обеспечения совместимости с требованиями российских и иностранных нормативных актов. Архитектура комплексного решения InfoWatch носит распределенный характер и ее компоненты доступны также в качестве автономных продуктов.

Схема взаимодействия компонентов InfoWatch Enterprise Solution

Схема взаимодействия компонентов InfoWatch Enterprise Solution

В состав InfoWatch Enterprise Solution входят два основных модуля — Traffic Monitor и Net Monitor. Первый предотвращает утечку через каналы электронной почты и интернета, а второй — через принтеры и порты рабочих станций. Все эти компоненты являются программными. Между тем компания InfoWatch совместно с «Гелиос Компьютер» предлагают аппаратную реализацию Traffic Monitor — устройство InfoWatch Security Appliance. В результате у заказчика появляется выбор: он может использовать, как программный компонент InfoWatch Traffic Monitor, так и аппаратный модуль InfoWatch Security Appliance.

InfoWatch Security Appliance

InfoWatch Security Appliance

Продукт InfoWatch Security Appliance в масштабе реального времени фильтрует трафик, передаваемый по протоколам SMTP и HTTP, предотвращает утечку конфиденциальных документов через корпоративный почтовый шлюз, web-почту, форумы, чаты и другие сервисы в интернете. В случае обнаружения фактов несоблюдения корпоративной политики конфиденциальности система оперативно сообщает об инциденте офицеру информационной безопасности, блокирует действия нарушителя и помещает подозрительные объекты в область карантина.

Устройство InfoWatch Security Appliance отличается простотой интеграции в существующую ИТ-инфраструктуру: система устанавливается в качестве дополнительного relay-сервера корпоративной сети, принимает перенаправленные потоки SMTP и HTTP, а после фильтрации возвращает данные отправителю. Заказчику всегда доступно средство централизованного управления. Сего помощью можно осуществить настройку и контроль над работой устройства, как из офиса, так и удаленно, с консоли офицера безопасности в головном офисе через защищенный канал.

Благодаря аппаратному форм-фактору InfoWatch Security Appliance отличается не только быстрым развертыванием, но и высокой производительностью. Устройство использует 64-разрядный сервер Helios Fortice IFS на базе процессора Intel Xeon с тактовой частотой до 3,60 ГГц, поддержкой технологии Hyper-Threading и Intel Extended Memory 64 Technology, кэш-памятью второго уровня объемом 2 Мб, 800 МГц системной шиной, 12 Гб ОЗУ, массивом до 10 SCSI жестких дисков. Подобные характеристики позволяют системе в рабочем режиме обрабатывать до 50 тысяч писем или 10 гигабайт трафика в день.

Технологии обнаружения конфиденциальных данных, реализованные в InfoWatch Security Appliance, основаны на сканировании пересылаемых данных на предмет наличия предопределенных ключевых слов и фраз. При этом фильтр умеет обрабатывать такие форматы данных, как Plain Text, HTML, Word, Excel, PowerPoint, PDF, RTF, различные архивы (ZIP, RAR ARJ). Дальнейший лингвистический анализ позволяет учесть контекст, в котором используются ключевые слова и фразы, и тем самым существенно повысить точность анализа. Также проверяются атрибуты сообщения на предмет соответствия политике безопасности, например, размер письма, адрес DNS-сервера отправителя, соответствие черным и белым спискам, наличие шифрования или неопознанных форматов вложенных файлов. Используется распознавание шаблонов, что позволяет детектировать неразрешенную пересылку структурированных данных. Наконец, процесс фильтрации включает сравнение каждого исходящего сообщения вместе с его атрибутами и образцов, представленных в базе данных, содержащей постоянно обновляемые «прототипы» конфиденциальных сообщений, специфичных для каждого конкретного заказчика. Таким образом, InfoWatch Security Appliance позволяет выявлять чувствительные сведения почти при полном отсутствии ложных срабатываний.

Продукт нацелен только на предотвращение утечек через сетевые каналы и не позволяет контролировать рабочие станции — эта задача выполняется другими продуктами компании InfoWatch. В зависимости от выбранной аппаратной конфигурации ориентировочная стоимость решения в расчете на 100 пользователей составляет от 10 до 15 тыс. долларов. Кроме этого, заказчику предлагается воспользоваться услугами технической поддержки и создания специализированной базы контентной фильтрации, учитывающей специфику деловой терминологии заказчика.

Аппаратное решение Tizor

Североамериканская компания Tizor поставляет аппаратное решение TZX 1000, позволяющее предотвратить утечку конфиденциальной информации по внутренним сетевым каналам и обеспечить совместимость с нормативными требованиями США.

Продукт контролирует доступ к серверам, на которых расположены критически важные данные. Это могут быть серверы приложений, файловые серверы или серверы баз данных. Аппаратный форм-фактор позволяет подключать TZX 1000 к сети нелинейно, а так же не снижать ее пропускной способности при анализе данных. Ниже представлена схема развертывания автономного продукта компании Tizor в корпоративной среде.

TZX 1000 в корпоративной среде

TZX 1000 в корпоративной среде

В основе выявления утечек лежит запатентованная технология Behavioral Fingerprinting. Разработчик утверждает, что с помощью этой технологии продукт в состоянии предотвратить хищение конфиденциальной информации, не осуществляя контентной фильтрации. Суть подхода состоит в построении шаблонов, описывающих активность пользователей. Каждый такой шаблон является, своего рода, цифровым отпечатком пальцев соответствующего пользователя, однако, определение аномалий в рамках совершаемых людьми действий в любом случае носит вероятностный и статистический характер. Другими словами, в основе продукта компании Tizor лежит эвристический анализатор.

Каждый раз, когда пользователь обращается к одному из защищенных серверов, TZX 1000 анализирует запрос и принимает решение на основе заданных политик. В сам продукт уже заложены некоторые политики для удовлетворения требований законодательных актов США, однако для выполнения положений корпоративной политики безопасности требуется специальная настройка.

Несмотря на то, что продукт компании Tizor ориентирован в целом на рынок США, автономность аппаратного исполнения TZX 1000 позволяет его использовать в любых компаниях, вне зависимости от их географического положения, но лишь в тех случаях, когда все информационные активы предприятия сосредоточены в базах данных или файловых серверах. Начальная цена на Tizor TZX 1000 составляет 25 тыс. долларов.

Защита электронной почты от Proofpoint

Продукт компании Proofpoint — Proofpoint  Messaging Security — позволяет обеспечить полный контроль над электронной почтой. С помощью этого устройства можно проверить сообщения на вирусы и спам, предотвратить нецелевое использование почтовых ресурсов и утечку конфиденциальной информации через них.

Защита электронной почты от Proofpoint

Защита от утечки конфиденциальных данных построена на базе механизма контентной фильтрации. Так вся передаваемая информация заранее распределена по нескольким тематическим категориям. Фильтр способен проанализировать более 300 типов вложений, включая популярные форматы Microsoft Word, Adobe PDF, ZIP и др.

Решение Proofpoint является классическим примером продукта, предназначенного для защиты одного конкретного канала передачи данных — электронной почты. Такой подход, конечно же, не позволяет обеспечить комплексной защиты, однако может быть использован в тех случаях, когда основной функциональностью является фильтрация спама и выявление вирусов, а предотвращение утечек — всего лишь приятное дополнение.

Начальная стоимость Proofpoint  Messaging Security составляет 10 тыс. долларов, а ежегодное обновление лицензии на 1 тыс. пользователей — 18 тыс. долларов.

Решение для выявления и предотвращения утечек Tablus

Североамериканская компания Tablus поставляет комплексное решение для выявления и предотвращения утечек Tablus Content Alarm Solution, в состав которого входят аппаратные модули Content Alarm NW, контролирующие сетевые каналы, и Content Alarm DT, осуществляющие мониторинг за рабочими станциями.

Решение для выявления и предотвращения утечек Tablus

Многомодульный продукт Content Alarm NW предназначен для выявления утечек по сетевым каналам. В его состав входят средства управления политикой и классификации данных, сенсоры пассивного мониторинга, почтовый фильтр для предотвращения утечек по каналам электронной почты, фильтры пересылаемых данных и графический клиент для централизованного управления. 

В основе процесса выявления утечки лежит контентная фильтрация, в ходе которой производится лингвистический анализ, поиск чувствительных данных по сигнатурам, анализ ключевых слов и фраз, поиск по шаблонам, анализ атрибутов пересылаемых данных. В целом, в решении Tablus реализован стандартный многоступенчатый механизм контентной фильтрации, применяемый сегодня в большинстве фильтров нежелательной корреспонденции.

В состав комплексного решения входит также аппаратный модуль Content Alarm DT, контролирующий операции на рабочих станциях с помощью программных агентов, которые внедряются в операционную систему, следят за действиями пользователя и проверяют их на соответствие политики. Аппаратная же часть продукта необходима для того, чтобы осуществлять через нее централизованное управление.

Агенты, размещенные на рабочих станциях, позволяют контролировать следующие операции пользователей: запись данных на CD, копирование файлов на USB-устройства, вывод информации на принтер, работу с буфером обмена (операции копировать и вставить), создание снимка с экрана, отправку сообщений электронной почты за пределы корпоративной сети, присоединение файлов к средствам обмена мгновенными сообщениями (IM).

Таким образом, к сильным сторонам решения Tablus можно отнести некоторую комплексность, выражающуюся в защите, как сетевых каналов, так и рабочих станций. Однако есть и целый ряд слабых сторон: не полный контроль над рабочей станцией (совершенно не покрыты беспроводные возможности — IrDA, Bluetooth, Wi-Fi, также выпали из поля зрения все остальные порты помимо USB) и негибкое использование аппаратных компонентов даже для контроля над рабочими станциями. Между тем, для эффективного мониторинга операций пользователя на уровне персонального компьютера вполне хватает программных агентов, применение же аппаратных модулей значительно повышает стоимость решения. В отличие от всех своих конкурентов решение Tablus действительно отличается намного более высокой ценой (цены начинаются с 25 тыс. долларов).  

Многофункциональное решение Hackstrike для СМБ

Израильская компания Hackstrike поставляет многофункциональный аппаратный продукт Fortress-1, ориентированный на средний и малый бизнес. Типовой состав решения включает несколько объединенных модулей: маршрутизатор, брандмауэр, антивирус, фильтр спама, контентный фильтр, URL-фильтр, VPN, систему обнаружения и предотвращения вторжений, средство формирования трафика для поддержки требуемого уровня качества обслуживания и модуль для защиты документов.

Многофункциональное решение Hackstrike для СМБ

На последнем модуле следует остановиться подробнее, так как он имеет прямое отношение к предотвращению утечек. В основе данной функциональности лежит система SDAS (Secure Digital Asset System), разработанная компанией Hackstrike. Продукт может отыскать конфиденциальные документы в потоке пересылаемых данных с помощью этой технологии. Метод поиска включает в себя анализ цифровых водяных знаков и сигнатурное сравнение. Расстановка же цифровых водяных знаков и взятие сигнатур происходит с помощью специального дополнительного модуля, который подключается к Microsoft Office и позволяет нажатием всего одной кнопки на панели инструментов пометить документ, как конфиденциальный. Дополнительно технология SDAS позволяет осуществлять поиск по заданным ключевым словам, например, можно запретить пересылку всех документов, содержащих конкретную фразу.

Есть у технологии и свои недостатки: так любой пользователь может легко обойти цифровые водяные знаки и сигнатуры, просто скопировав данные через буфер обмена в новый документ и преобразовав его в совершенно другой формат (например, Adobe PDF). Тем не менее, именно аппаратный продукт Hackstrike может подойти малому бизнесу, который помимо простейшей функциональности по предотвращению утечек получит в свое распоряжение маршрутизатор, брандмауэр, антивирус и многое другое.

Комплексное решение Oakley Networks

Североамериканская компания Oakley Networks поставляет аппаратный продукт SureView, позволяющий обеспечить комплексное выявление и предотвращение утечек. Продукт позволяет фильтровать веб-трафик, электронную почту и мгновенные сообщения (IM), контролировать активность пользователей на уровне рабочих станций.

Комплексное решение Oakley Networks

Комплексное решение SureView состоит из трех компонентов: агенты (размещаются на рабочих станциях), аппаратное ядро (выполняет основные функции фильтрации) и выделенный сервер (используется в целях централизованного управления политиками).

Для выявления утечек продукт Oakley Networks использует несколько технологий и алгоритмов, основанных на вероятностных и статистических методах. Другими словами, продукт анализирует поведение пользователя с учетом чувствительности обрабатываемых документов, однако не производит контентной фильтрации как таковой.

Слабым местом решения является не полное покрытие коммуникационных ресурсов рабочей станции. По крайне мере, инсайдеры имеют возможность переписать данные на мобильные устройства посредством беспроводных интерфейсов (IrDA, Wi-Fi, Bluetooth).

Функционал аппаратных решений для предотвращения утечек

InfoWatch Security Appliance Tablus
Content Alarm Solution
Oakley Networks SureView Proofpoint Messaging Security Hackstrike Fortress-1 Tizor TZX 1000
Контроль над почтовым трафиком Да Да Да Да Да Нет
Контроль над веб-трафиком Да Да Да Нет Да Нет
Контроль над доступом к серверам (БД, файловым, приложений) Нет Нет Нет Нет Нет Да
Наличие программных компонент, позволяющих обеспечить комплексность Да Да Да Нет Нет Нет
Наличие широкого спектра дополнительных услуг (помимо тех. поддержки) Да Да Да Нет Нет Нет
Минимальная стоимость 10-15 тыс. долларов 25 тыс. долларов неизвестно (не представлено в России) 10 тыс. долларов (продление лицензии
на 1 тыс. пользователей
стоит 18 тыс. долларов)
неизвестно (не представлено в России) 25 тыс. долларов

Алексей Доля

Вернуться на главную страницу обзора

Версия для печати

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS