Основная информация

Наиболее эффективный подход к защите от утечек информации с компьютеров начинается с использования, прежде всего, механизмов контекстного контроля - запрета или разрешения передачи данных для конкретных пользователей в зависимости от форматов данных, типов интерфейсов и устройств, сетевых протоколов, направления передачи, дня недели и времени суток и т. д.

Однако, во многих случаях требуется более глубокий уровень контроля - например, проверка содержимого передаваемых данных на наличие персональной или конфиденциальной информации в условиях, когда порты ввода-вывода не должны блокироваться, чтобы не нарушать производственные процессы, но отдельные пользователи входят в «группу риска», поскольку подозреваются в причастности к нарушениям корпоративной политики информационной безопасности. В подобных ситуациях дополнительно к контекстному контролю необходимо применение технологий контентного анализа и фильтрации, позволяющих выявить и предотвратить передачу неавторизованных данных, не препятствуя при этом информационному обмену в рамках служебных обязанностей сотрудников.

Программный комплекс Cyber Protego использует как контекстные, так и основанные на анализе контента методы контроля данных, обеспечивая надежную защиту от информационных утечек с пользовательских компьютеров и серверов корпоративных ИС при минимальных затратах на приобретение и обслуживание комплекса. Контекстные механизмы Cyber Protego реализуют гранулированный контроль доступа пользователей к широкому спектру периферийных устройств и каналов ввода-вывода, включая сетевые коммуникации. Дальнейшее повышение уровня защиты достигается за счет применения методов контентного анализа и фильтрации данных, что позволяет предотвратить их несанкционированное копирование на внешние накопители и Plug-and-Play устройства, а также передачу по сетевым протоколам за пределы корпоративной сети.

Наряду с методами активного контроля эффективность применения Cyber Protego обеспечивается за счет детального протоколирования действий пользователей и административного персонала, а также селективного теневого копирования передаваемых данных для их последующего анализа, в том числе с использованием методов полнотекстового поиска.

Программный комплекс Cyber Protego состоит из взаимодополняющих функциональных модулей - Device Control, Web Control, Content Control, Cyber Protego Search Server (CPSS) и Cyber Protego Discovery, лицензируемых опционально в любых комбинациях для удовлетворения задач служб информационной безопасности.

Базисный компонент Device Control является инфраструктурной платформой и ядром для других компонентов комплекса и реализует все функции его централизованного управления и администрирования. Device Control поддерживает полный набор механизмов контекстного контроля доступа пользователей, а также обеспечивает событийное протоколирование (аудит) и теневое копирование данных для всех локальных каналов ввода-вывода на защищаемых компьютерах, включая периферийные устройства и интерфейсы, системный буфер обмена, локально подсоединенные смартфоны и КПК, Media Transfer Protocol (MTP), а также канал печати документов на локальные и сетевые принтеры. Кроме того, компонент Device Control включает в себя все консоли централизованного управления.

Компонент Web Control обеспечивает контекстный контроль каналов сетевых коммуникаций на рабочих компьютерах, включая распознавание сетевых протоколов независимо от используемых портов, детектирование коммуникационных приложений и их селективную блокировку, реконструкцию сессий с восстановлением файлов, данных и параметров, а также событийное протоколирование и теневое копирование передаваемых данных.

Web Control контролирует большинство популярных сетевых протоколов и приложений, включая простые и SSL-защищенные SMTP-сессии электронной почты (с раздельным контролем сообщений и вложений), взаимодействие между клиентом Microsoft Outlook и сервером Microsoft Exchange (протокол MAPI), IBM Notes, POP3, IMAP, веб-доступ и другие HTTP приложения, включая HTTPS сессии, веб-службы электронной почты и социальные сети (ABV Mail, AOL Mail, freenet.de, Gmail, GMX Mail, Hotmail (Outlook.com), iCloud, Mail.ru, NAVER, Outlook Web App (OWA), Rambler Mail, T-online.de, Web.de, Yahoo! Mail, Yandex Mail, Mailion, Zimbra; Facebook*, Google+, Instagram*, LinkedIn, LiveJournal, MeinVZ, Myspace, Odnoklassniki, Pinterest, StudiVZ, Tumblr, Twitter, Vkontakte, XING, Disqus, LiveInternet.ru), службы мгновенных сообщений (Skype, Telegram, Viber, WhatsApp, ICQ Messenger, Jabber, IRC, TamTam, Mail.ru Агент), облачные хранилища (Amazon S3, Dropbox, Box, Google Drive, Microsoft OneDrive и др.), Кибер Файлы, передачу файлов по протоколам FTP и FTP-SSL, передачу файлов в локальной сети по SMB, а также сеансы Telnet и Torrent.

Компонент Content Control реализует механизмы контентного мониторинга и фильтрации файлов и данных, передаваемых с/на сменные носители и в каналах сетевых коммуникаций - веб-почте и социальных сетях, службах мгновенных сообщений, файловом обмене по протоколам FTP и FTP-SSL и др. Кроме того, технологии контентной фильтрации в модуле Content Control позволяют задать фильтрацию для данных теневого копирования, чтобы сохранять только те файлы и данные, которые информационно значимы для задач аудита информационной безопасности, расследований нештатных ситуаций и их криминалистического анализа.

Компонент Cyber Protego Search Server (CPSS) обеспечивает полнотекстовый поиск по централизованным базам данных теневого копирования и событийного протоколирования. Сервер CPSS позволяет значительно снизить трудозатратность и повысить эффективность процессов аудита и расследования инцидентов информационной безопасности, связанных с утечками информации, их криминалистического анализа и сбора доказательной базы. Cyber Protego Search Server может автоматически распознавать, индексировать, находить и отображать документы множества форматов, таких как: Adobe Acrobat (включая зашифрованные файлы, если шифрование файла выполнено одним из следующих алгоритмов: 40-bit RC4, 128-bit RC4, 128-bit AES и 256-bit AES, и при этом разрешения, установленные на файл, не запрещают извлечение текста) (PDF), Ami Pro, AutoCAD (DWG, DXF), Архивы (GZIP, RAR, ZIP, ARZip), Lotus 1-2-3, Microsoft Access, Microsoft Excel, Microsoft PowerPoint, Microsoft Visio, Microsoft Word, Microsoft Works, OpenOffice (документы, таблицы и презентации), Quattro Pro, WordPerfect, WordStar и многие другие.

Компонент Cyber Protego Discovery выполняет сканирование рабочих станций и корпоративных сетевых ресурсов, и на основании заданных политик способен обнаруживать документы и файлы с критическим содержимым, осуществлять различные действия с обнаруженными документами, а также может инициировать процедуры управления инцидентами, направляя тревожные оповещения в реальном режиме времени. Подробную информацию о Cyber Protego Discovery можно найти в документе "Руководство пользователя Cyber Protego Discovery" (см. также Краткий обзор Cyber Protego Discovery).

Помимо обеспечения контроля доступа к портам, устройствам и каналам сетевых коммуникаций, включая событийное протоколирование (аудит), Cyber Protego обеспечивает тревожные оповещения безопасности (алерты) в реальном времени, уведомляя администратора о серьезных происшествиях и проблемах. Оповещения в реальном времени упрощают отслеживание событий в журнале, а также позволяют оперативнее и более эффективно реагировать на инциденты и нарушения политики безопасности. Оповещения отправляются по протоколам SMTP (Simple Mail Transfer Protocol), SNMP (Simple Network Management Protocol) и/или syslog.

Функция теневого копирования в Cyber Protego позволяет для каждого пользователя или группы сохранять точную копию данных, копируемых на внешние устройства, передаваемых по сети и через последовательные и параллельные порты, а также печатаемых на локальных и сетевых принтерах. Точные копии всех файлов и данных сохраняются в SQL-базе данных. Теневое копирование, как и аудит, может быть задано для отдельных пользователей и групп пользователей.

Данные теневого копирования могут быть проверены на вхождение в базы данных известных файлов, что позволяет их использовать в компьютерной криминалистике.

Такие базы данных содержат цифровые "отпечатки" множества известных файлов (файлы операционных систем, прикладного программного обеспечения и т. п.). Вы можете создать ваши собственные базы данных цифровых "отпечатков" (поддерживаются алгоритмы SHA-1, MD5 и CRC32) конфиденциальных файлов и затем использовать их для выявления фактов копирования пользователями этих конфиденциальных файлов.

За дополнительной информацией об использовании Cyber Protego с базами данных цифровых "отпечатков" обращайтесь в службу технической поддержки Cyber Protego.

Дополнительную информацию о базах данных цифровых "отпечатков" известных файлов, а также примеры подобных баз данных можно найти на сайте национального института стандартов и технологий США по адресу www.nsrl.nist.gov.

В дополнение к стандартным возможностям управления правами доступа и настройками, Cyber Protego предлагает наиболее рациональный и удобный подход к управлению DLP-системой - с использованием объектов групповых политик домена Microsoft Active Directory и интегрированной в редактор групповых политик (GPO Editor) консоли Cyber Protego. При этом политики Cyber Protego автоматически распространяются средствами директории как интегральная часть ее групповых политик на все компьютеры домена. Такое решение позволяет службе информационной безопасности централизованно и оперативно управлять DLP-политиками в масштабах всей организации, а их исполнение распределенными агентами Cyber Protego обеспечивает точное соответствие между бизнес-функциями пользователей и их правами на передачу и хранение информации на рабочих компьютерах.

Глубокая интеграция в Active Directory - важная особенность Cyber Protego. Она упрощает развертывание в больших сетях и более удобна для системных администраторов, а также исключает необходимость установки дополнительных приложений для централизованного управления и развертывания. Полная интеграция централизованного управления Cyber Protego в групповые политики Windows позволяет автоматически устанавливать Cyber Protego на новые компьютеры, подключаемые к корпоративной сети, и осуществлять настройку политик контроля доступа, аудита и теневого копирования и других настроек Агентов Cyber Protego для новых компьютеров в автоматическом режиме. Cyber Protego не требует своего собственного серверного компонента для контроля за всей сетью, вместо этого используется стандартная функция, предоставляемая Active Directory.

В состав программного комплекса Cyber Protego входят три основные части: агент (Cyber Protego Agent), серверы (Cyber Protego Management Server и Cyber Protego Search and Discovery Server) и консоли управления (Cyber Protego Центральная консоль управления и Cyber Protego Group Policy Manager).

  1. Cyber Protego Agent - это ядро системы Cyber Protego. Агент устанавливается на каждый контролируемый компьютер, автоматически запускается и обеспечивает защиту устройств и сети на машине-клиенте, оставаясь в то же время невидимым для локального пользователя.
  2. Cyber Protego Management Server - это дополнительный компонент, предназначенный для централизованного сбора и хранения данных теневого копирования и журналов аудита. Для хранения своих данных Cyber Protego Management Server использует сервер базы данных - SQL Server или PostgreSQL/Jatoba. Для равномерного распределения нагрузки в локальной сети можно установить несколько экземпляров Management Server и серверов базы данных.

    3. Cyber Protego Search and Discovery Server - еще один дополнительный компонент, включающий в себя компонент Search Server для быстрого поиска текста в файлах теневого копирования и журналах, хранящихся на Cyber Protego Management Server. Дополнительную информацию см. в разделе Cyber Protego Search and Discovery Server ниже в этой главе.

  3. Консоль управления - это интерфейс контроля, который системный администратор использует для удаленного управления любой системой, на которой установлен Cyber Protego Agent. Cyber Protego поставляется с четырьмя консолями управления: Cyber Protego Центральная консоль управления, Cyber Protego Group Policy Manager (интегрируется в редактор групповых политик Windows) и Cyber Protego Редактор настроек агента. Cyber Protego Центральная консоль управления также используется для управления серверами Cyber Protego Management Server и Search and Discovery Server.

* Деятельность социальных сетей Instagram и Facebook, принадлежащих компании Meta Platforms Inc., признана экстремистской и запрещена на территории России.