Наша организация сейчас находится на стадии выбора DLP-системы. Решение это дорогое и "долговнедряемое"... поэтому нужно выбрать самую эффективную под наши цели. И, соответственно, в течении полугода будем участвовать в тестирование DLP-шек от различных вендоров.
 |
| Вот такой сертификат |
В данной статье, коротко, опишу первое из пилотных решений от компании InfoWatch. Постараюсь, по мере сил, не хвалить или ругать, т.к. других решений длительное время "пощупать" не удалось (пока). Но, что меня не могло не порадовать в InfoWatch, что в рамках пилота они проводят обучение и выдают сертификат с автографом Натальи Касперской (еще интересную книжку по форензике и флешку). Да, кстати, обучение проводил Иван Павлов - обучал грамотно, за что ему большой респект :)
О решение InfoWatch
InfoWatch предоставляет свое оборудование, на котором размещены Trafic Monitor (TM) - сниффер и база данных (под управлением Oracle 11g2E). Железка подключается к Mirrorin порту вашего маршрутизатора (SPAN-порту, если вы счастливый обладатель маршрутизатора Cisco) либо к Proxy-серверу, с которого на сервер TM будет поступать ICAP-трафик.
Что касается почтового траффика (SMTP), то его можно не только отлавливать, но и фильтровать (либо задерживать определенные сообщения до ручной проверки), если сервер TM установлен "в разрыв" между почтовым сервером и маршрутизатором (либо proxy).
Администратор подключается к базе данных с помощью консоли и "вытаскивает" информацию посредством запросов.
В комплекте поставляется сервер Device Monitor, а на машины устанавливается клиентская часть, что дает возможность анализировать, а также делать теневые копии всего, что копируется на внешние носители или передается на печать.
Сниффер
Первичная обработка
Сниффер начинает свое "нюхательное" дело с первичной обработки трафика, преобразуя его в объекты, с которыми система умеет работать, и занося оные в БД. На этом этапе идет отсев "бесполезного трафика", т.к. если мы будем записывать запросы в поисковики, переводчики, на внутренние ресурсы в большой компании, то база разрастется неимоверно... а что люди ищут в гугле и переводят онлайн по большому счету не так уж и важно.
Анализ
В TM реализованы 3 средства анализа перехваченных объектов:
- На вхождение шаблонов текстовых объектов. Если в объекте находится сочетание "Совершенно секретно" и система настроена соответствующим образом, то объект будет соответствующим образом "помечен" (об этом подробнее чуть ниже). Или если в объекте будет содержаться номер паспорта гражданина РФ (или что-то на него очень похожее), то система его также "пометит". В наличие в системе содержится приличный перечень таких объектов (ОГРН, ИНН, Различные грифы), ну и естественно можно добавлять свои (только не регулярными выражениями, а "жестко"). Ошибок практически не возникает (а в тех случаях, когда возникают, человек бы и сам мог принять пересылаемую информацию, скажем за ИНН).
- На основе цифровых отпечатков. В систему загружаются типовые конфиденциальные
документы, которые запрещено пересылать. Она их хэширует, но не целиком, а определенные части. В дальнейшем, если такие же части этих документов будут встречаться в перехваченных объектов, то система отреагирует. Здесь уже наблюдаются ошибки, в частности с базой наших клиентов (здоровенная таблица Excel), с который мы сняли отпечаток. Иногда систему можно понять и простить - например в подписи письма, на которое отвечает сотрудник содержится такая-же фамилия, как и у клиента. Иногда она реагирует на набор специальных команд в запросе к какому-нибудь веб-ресурсу. - На основе лингвистического анализа. Разработчик позиционирует этот вид анализа как "улавливание смысла текста". Анализатор находит в объекте определенные слова, которые заранее занесены в "Базу категорий и терминов". Например, когда он видит слова "счет" - 2 раза, "заказчик" - 1 раз, "цена" - 1 раз, "рублей" - 3 раза, анализатор заносит объект в категорию Счета. Каждому из указанных выше слов назначается определенный вес для данной категории. Когда сумма весов переваливает через установленный разработчиками предел, то объекту назначается категория. По стандартным встроенным базам, кстати, система определяет категорию довольно точно. Это при том, что разработчик обязуется после покупки формировать перечень категорий по запросу клиента на основе тех документов, которые циркулируют в организации. (Впрочем, для нескольких категорий, мы договорились посмотреть, как оно будет работать в рамках пилотного проекта - пока что ждем результатов работы лингвистов InfoWatch).
Маркировка объектов
Система выносит вердикт - запрещен или разрешен для пересылки объект, основываясь на результатах анализа (содержатся ли текстовые объекты, цифровые отпечатки, к какой категории относится пересылаемая информация), а также на том, кто является получателем и отправителем сообщения. Запрещенные объекты будут по умолчанию окрашены красным.
Работа с базой данных
Взаимодействие с БД осуществляется через консоль.
В консоли довольно гибко настраиваются права на работу с объектами (например, оператору поручено следить только за определенными подразделениями, поэтому доступ к остальным можно закрыть). Реализовано это через "Зоны ответственности". Еще радует ролевая модель доступа.
Объекты "вытягиваются" из базы посредством условий. Условия довольно гибкие и составляются с помощью мастера, который интерпретирует их в LUA-скрипт. С этим, кстати возникли небольшие проблемы - в LUA символ % заменяет произвольное число символов, а символ _ - заменяет один символ. Поэтому, чтобы найти, например, получателей с email'ом qqq_qqq@mail.ru пришлось использовать экранирующие символы (qqq\_qqq\@mail\.ru). Сложности в этом нет, но выдал руководству неверную информацию по оправкам конфиденциальных данных на email одного из конкурентов... за что по голове не погладили).
Общее впечатление
С этой DLP работать можно... но эффективная работа (в большой компании) потребует много времени на тонкую настройку, что вполне логично и на "допиливания" (вендор собирает предложения от клиентов и называет это "future requests". Время взаимодействия с разработчиком, в большинстве случаев, устраивает... Теперь ждем следующих пилотных проектов для сравнения.
Комментариев нет:
Отправить комментарий