BCT_DL_A5_4_4_24p_2013.qxd 02.04.2013 13:51 Page 1 ПРОГРАММНЫЙ КОМПЛЕКС ЗАЩИТЫ ОТ УТЕЧЕК ДАННЫХ С КОРПОРАТИВНЫХ КОМПЬЮТЕРОВ BCT_DL_A5_4_4_24p_2013.qxd 02.04.2013 13:51 Page 2 DeviceLock® О компании Смарт Лайн Инк Основанная в 1996 году российская компания Смарт Лайн Инк (SmartLine Inc) является международным лидером разработки программных средств контроля доступа к пери ферийным устройствам и защиты от утечек данных с корпоративных компьютеров. Наши продукты помогают службам информационной безопасности организаций и систем ным интеграторам создавать эффективные DLPрешения для платформы Microsoft Win dows. Программный комплекс DeviceLock® разработки Смарт Лайн Инк применяется для за щиты данных как в информационных системах масштаба предприятия, так и на отдельных рабочих станциях. Штабквартира и основной офис разработки программных продуктов Смарт Лайн Инк нахо дятся в Москве, а заграничные офисы продаж и технической поддержки — в США, Великоб ритании, Германии и Италии. Смарт Лайн Инк — не только признанный технологический лидер в области контроля досту па пользователей компьютеров к периферийным и мобильным устройствам, но и первый отечественный производитель полноценных DLPсистем, продукты которого пользуются по пулярностью на международном рынке. О высоком качестве и надежности наших продуктов свидетельствует масштаб клиент ской базы компании — ее программный комплекс DeviceLock защищает более 4 миллио нов компьютеров, установленных по всему миру в информационных системах 60 тысяч ор ганизаций кредитнофинансового, энергетического, оборонного и государственного секто ров, а также телекоммуникаций, здравоохранения и образования и других. BCT_DL_A5_4_4_24p_2013.qxd 02.04.2013 13:51 Page 3 Зачем нужны DLP*средства защиты от утечек данных? Ценные корпоративные данные, кото рые ваша организация пытается защи тить с помощью межсетевых экранов и паролей, буквально утекают сквозь пальцы инсайдеров. Это происходит как случайно, так и в результате умышленных действий неправомер ного копирования информации с ра бочих компьютеров на флешнакопи тели, MP3плееры, смартфоны, кар манные и планшетные компьютеры, CD/DVD/BDдиски и другие носители данных. Кроме того, данные могут бесконтрольно передаваться инсай дерами через электронную почту, службы мгновенного обмена сообще ниями, вебформы, форумы и соци альные сети. Беспроводные интер фейсы WiFi, Bluetooth и Infrared наравне с каналами локальной син хронизации данных с мобильными устройствами открывают дополни тельные пути для утечек информации с пользовательских компьютеров ор ганизации. Помимо инсайдерских уг роз другой опасный сценарий утечек реализуется при заражении компью теров вредоносными программами, которые могут записывать вводимый с клавиатуры текст или отдельные ви ды хранимых в оперативной памяти компьютера данных и впоследствии передавать их в Интернет по протоко лам электронной почты или файлово го обмена. В то время, как ни одна из этих уязвимостей не устраняется ни традиционными механизмами сете вой безопасности, ни встроенными средствами контроля ОС Windows, программный комплекс DeviceLock® Endpoint DLP Suite эффективно пре дотвращает утечки данных с корпора тивных компьютеров, используя пол ный набор механизмов контекстного контроля операций с данными а также технологии их контентной фильтра ции. Поддержка виртуальных и тер минальных сред в DeviceLock® Endpo int DLP Suite существенно расширяет возможности служб информационной безопасности в решении задачи пре дотвращения утечек данных при ис пользовании различных решений виртуализации рабочих сред, создан ных как в форме локальных виртуаль ных машин, так и терминальных сес сий рабочих столов или опубликован ных приложений на гипервизорах. 3 BCT_DL_A5_4_4_24p_2013.qxd 02.04.2013 13:51 Page 4 DeviceLock® Контекстный контроль и контентная фильтрация Наиболее эффективный подход к за щите от утечек информации с компью теров начинается с использования, прежде всего, механизмов контекс тного контроля запрета или разреше ния передачи данных для конкретных пользователей в зависимости от фор матов данных, типов интерфейсов и устройств, сетевых протоколов, нап равления передачи, дня недели и вре мени суток и т.д. Однако, во многих случаях требуется более глубокий уровень контроля например, проверка содержимого пе редаваемых данных на наличие пер сональной или конфиденциальной информации в условиях, когда порты вводавывода не должны блокиро ваться, чтобы не нарушать производс твенные процессы, но отдельные пользователи входят в "группу риска", поскольку подозреваются в причас тности к нарушениям корпоративной политики информационной безопас ности. В подобных ситуациях допол нительно к контекстному контролю не обходимо применение технологий контентного анализа и фильтрации, позволяющих выявить и предотвра тить передачу неавторизованных дан ных, не препятствуя при этом инфор мационному обмену в рамках служеб ных обязанностей сотрудников. 4 Программный комплекс DeviceLock Endpoint DLP Suite использует как контекстные, так и основанные на анализе контента методы контроля данных, обеспечивая надежную за щиту от утечек информации с поль зовательских компьютеров и серве ров корпоративных ИС при мини мальных затратах на приобретение и обслуживание комплекса. Контекс тные механизмы DeviceLock реализу ют гранулированный контроль дос тупа пользователей к широкому спектру периферийных устройств и каналов вводавывода, включая се тевые коммуникации. Дальнейшее повышение уровня защиты достига ется за счет применения методов контентного анализа и фильтрации данных, что позволяет предотвра тить их несанкционированное копи рование на внешние накопители и PlugandPlay устройства, а также пе редачу по сетевым протоколам за пределы корпоративной сети. Наряду с методами активного контро ля эффективность применения Device Lock обеспечивается за счет детально го протоколирования действий поль зователей и административного пер сонала, а также селективного теневого копирования передаваемых данных для их последующего анализа, в том BCT_DL_A5_4_4_24p_2013.qxd 02.04.2013 числе с использованием методов пол нотекстового поиска. Для администраторов информаци онной безопасности DeviceLock предлагает наиболее рациональный и удобный подход к управлению DLPсистемой с использованием объектов групповых политик домена Microsoft Active Directory и интегри рованной в редактор групповых по литик (GPO Editor) консоли Device Lock. При этом политики DeviceLock автоматически распространяются средствами директории как интег ральная часть ее групповых политик на все компьютеры домена, а также виртуальные Windowsсреды. Такое 13:51 Page 5 решение фпозволяфет службе ин формационной безопасности цен трализованно и оперативно управ лять DLPполитиками в масштабах всей организации, а их исполнение распределенными агентами Device Lock обеспечивает точное соответс твие между бизнесфункциями пользователей и их правами на пе редачу и хранение информации на рабочих компьютерах. Не менее важно, что агенты DeviceLock не ока зывают скольлибо заметного влия ния на их производительность, ра ботают в самозащищенном режиме и остаются полностью прозрачными для пользователей, не нарушающих дисциплину работы с данными. DeviceLock ContentLock NetworkLock Базисный функциональный компонент комплекса DeviceLock позволяет контролировать доступ пользователей к различным интерфейсам (портам) компьютера и его периферийным устройствам в зависимости от их типа, класса, модели и уникального идентификатора, дня недели и времени суток, форматов файлов, а также типов операций с данными, включая чтение, запись, форматиро вание носителей. Компонент NetworkLock расширяет функции контекстного контроля на сетевые коммуникации пользователей, а компонент ContentLock обеспечивает контентный анализ и филь трацию данных в каналах передачи, контролируемых DeviceLock и NetworkLock. 5 BCT_DL_A5_4_4_24p_2013.qxd 02.04.2013 13:51 Page 6 DeviceLock® Модульная структура и лицензирование Комплекс DeviceLock Endpoint DLP Sui te состоит из взаимодополняющих функциональных модулей Device Lock, NetworkLock, ContentLock и Devi ceLock Search Server, лицензируемых в любых комбинациях на основе базис ного модуля DeviceLock. Базисный компонент DeviceLock под держивает полный набор механиз мов контекстного контроля доступа пользователей, а также обеспечивает событийное протоколирование и те невое копирование данных для всех локальных каналов вводавывода на защищаемых компьютерах, включая периферийные устройства и интер фейсы, системный буфер обмена, локально подсоединенные смартфо ны и КПК, канал печати документов на локальные и сетевые принтеры, а также перенаправленные в терми нальные и виртуальные среды уст ройства, буфер обмена и принтеры. Кроме того, компонент DeviceLock служит в качестве инфраструктурной платформы для других компонентов комплекса и реализует все функции его централизованного управления и администрирования. Опциональный компонент Networ kLock™ обеспечивает контекстный контроль каналов сетевых коммуни 6 каций компьютеров, включая рас познавание сетевых протоколов не зависимо от используемых портов, детектирование коммуникационных приложений и их селективную бло кировку, реконструкцию сообщений и сессий с восстановлением файлов, данных и параметров, а также собы тийное протоколирование и теневое копирование передаваемых данных. Опциональный компонент Conten tLock™ реализует механизмы мони торинга и контентной фильтрации файлов, копируемых на съемные носители и иные PlugnPlay уст ройства, а также объектов данных, перехваченных NetworkLock при их передаче по сетевым каналам связи включая содержимое электронной почты, мгновенных сообщений, webформ, публикаций социальных сетей, файловых обменов и т.д. Опциональный компонент Device Lock Search Server (DLSS) обеспечи вает полнотекстовый поиск по цен трализованным базам данных тене вого копирования и событийного протоколирования DeviceLock. Ис пользование DLSS позволяет значи тельно снизить трудозатратность и повысить эффективность процессов аудита и расследования инцидентов BCT_DL_A5_4_4_24p_2013.qxd 02.04.2013 информационной безопасности, связанных с утечками информации, их криминалистического анализа и сбора доказательной базы. Компоненты комплекса DeviceLock Endpoint DLP Suite лицензируются по функциональномодульному принци пу. Лицензионная политика предус матривает как приобретение лицензий на комплекс в целом, так и выбороч ное лицензирование по отдельным модулям. Базисный модуль контроля DeviceLock обязателен для любой инс талляции комплекса и может исполь 13:51 Page 7 зоваться независимо. Опционально лицензируемые компоненты Conten tLock, NetworkLock и DLSS могут при обретаться дополнительно к Device Lock и независимо друг от друга, что обеспечивает пользователям поэтап ное и экономное расширение функци онала их DLPрешений в соответствии с ростом потребностей. Поскольку инсталляционный пакет DeviceLock включает все компоненты комплекса, активация опциональных лицензий не требует переустановки какихлибо его частей, равно как и дополнительной установки компонентов. Полная интеграция консоли управления политиками и агентами DeviceLock Group Policy Manager в средства управления платформы Active Directory, а также Microsoft Group Policy Management Console обеспечивает высокую масштабируемость DLPрешений на базе DeviceLock Endpoint DLP Suite. 7 BCT_DL_A5_4_4_24p_2013.qxd 02.04.2013 13:51 Page 8 DeviceLock® Характеристики и преимущества DeviceLock Централизованное управление с интеграцией в групповые политики Active Directory. Полная интеграция централизованного управления Devi ceLock в групповые политики Windows позволяет автоматически устанавли вать DeviceLock на новые компьютеры, подключаемые к корпоративной сети, а также оперативно управлять поли тиками контроля доступа, контентной фильтрации, аудита и теневого копи рования агентов DeviceLock на защи щаемых компьютерах и в виртуальных средах. Наиболее популярная среди пользователей консоль управления DeviceLock Group Policy Manager пред ставляет собой оснастку для Microsoft Management Console (MMC), встраи ваемую в стандартную оснастку Group Policy, которая входит в состав Win dows 2000 и более поздних операци онных систем. Благодаря привычному и интуитивно понятному для сетевых администраторов интерфейсу управ ление DeviceLock является простым и не требует написания дополнительных скриптов, изменения схемы домена или ADMшаблонов. Для организа ций, не использующих Active Directory, в комплексе DeviceLock предусмотрена дополнительная консоль с MMCпо добным графическим интерфейсом DeviceLock Enterprise Manager, которая позволяет централизованно управлять 8 агентами DeviceLock на любых ком пьютерах, выбирая их напрямую из служб каталогов LDAP (таких как No vell eDirectory, Open LDAP и т.п.). Аген ты могут быть установлены на удален ные компьютеры с уже заданными по литиками безопасности и конфигура ционными настройками путем развер тывания специально созданного уста новочного пакета Microsoft Installer (MSI). Такой MSIпакет создается ад министратором при помощи консоли управления DeviceLock. XMLшаблоны DLPполитик могут создаваться, экс портироваться и использоваться во всех консолях управления DeviceLock. Поддержка RSoP. Стандартная оснас тка Resultant Set of Policy (RSoP) позво ляет администраторам DeviceLock просматривать исполняемые агентами DLPполитики а также проверять кон систентность их набора, подготавли ваемого для доставки на агенты Devi ceLock. Белые списки. Для каждого пользо вателя или группы можно задать свой "белый" список устройств, доступ к ко торым будет всегда разрешен. Уст ройства можно идентифицировать по модели и по уникальному серийному номеру. Поддерживается временный доступ к устройствам при отсутствии BCT_DL_A5_4_4_24p_2013.qxd 02.04.2013 сетевого подключения к агенту. Адми нистратор сообщает пользователю специальный короткий буквенноциф ровой код (например, по телефону), который временно разблокирует дос туп только к требуемому устройству. Кроме того, DeviceLock позволяет идентифицировать определенный CD/DVD/BDдиск на основе записан ных на него данных и разрешить его использование, даже если сам привод заблокирован. Модуль NetworkLock поддерживает политики, основанные на принципе "белого" списка, который дополнительно может детализиро ваться по IPадресам, их диапазонам и маскам подсетей, а также по сетевым портам и их диапазонам. Контроль сетевых коммуникаций. Использующий методы глубокого па кетного анализа модуль NetworkLock обеспечивает детектирование и селек тивную блокировку сетевых протоко лов и коммуникационных приложений 13:51 Page 9 независимо от используемых ими портов, реконструкцию сессий и сооб щений с восстановлением передавае мых файлов и иных данных для их оперативного анализа, теневое копи рование, а также событийное протоко лирование действий пользователей. NetworkLock позволяет контролиро вать коммуникации пользователей че рез популярные сетевые приложения, включая передачу почтовых сообще ний по открытым и SSLзащищенным SMTPсессиям и протоколу MAPI (с раздельным контролем сообщений и вложений), webдоступ и другие HTTP/HTTPSприложения, webпочту, мессенджеры, социальные сети, пере дачу файлов в облачные сетевые хра нилища и по протоколам SMB, FTP/FTPSSL, a также Telnetсессии. Контроль по типу файлов. DeviceLock позволяет контролировать доступ пользователей к операциям с файлами в зависимости от их типов (форматов). С помощью NetworkLock организации могут гибко контролировать и аудировать доступ пользователей их корпоративных ИС к популярным сетевым приложениям, включая webдоступ в Интернет, SMTP и webпочту, социальные сети, блоги, службы мгновенных сообщений (мессенджеры), передачу файлов, telnetсессии и т.д. 9 BCT_DL_A5_4_4_24p_2013.qxd 02.04.2013 13:51 Page 10 DeviceLock® Основанный на сигнатурной обработке бинарного содержимого файлов метод детектирования позволяет безошибоч но идентифицировать более 4000 файловых форматов и нечувствителен к фальсификации их расширений. Контроль по типу файлов осуществля ется дополнительно к правам пользо вателей, заданным на уровне типа уст ройства или сетевого протокола. Контентная фильтрация. Технологии парсинга и контентного анализа, реа лизованные в модуле ContentLock, позволяют выделять и фильтровать текстовое содержимое более чем 80 файловых форматов и иных типов данных, копируемых на съемные но сители, а также передаваемых по сете вым каналам связи, контролируемым модулем NetworkLock, включая сооб щения электронной почты, мгновен ные сообщения, вебформы, обмены социальных сетей и т.д. ContentLock обеспечивает фильтрацию потоков данных, основываясь на созданных администратором шаблонах регуляр ных выражений (RegExp) с различны ми численными и логическими усло виями соответствия шаблона критери ям и ключевым словам. При создании правил фильтрации шаблоны можно объединять в сколь угодно сложные комбинации с использованием логи ческих функций "И" и "ИЛИ", таким об разом задавая комплексные образцы для поиска и фильтрации контента. Набор более чем 50 параметров, ис пользуемых для задания шаблонов, включает идентификаторы пользова телей и их групп, идентификаторы компьютеров и типы их интерфейсов, устройства, типы каналов и направле ние передачи данных, диапазоны дат и времени и многие другие. В продукт встроены наборы готовых шаблонов для наиболее распространенных ви дов защищаемой информации, вклю чая номера кредитных карт, банков ских счетов, водительских удостовере ний, идентификаторы социального страхования, телефонные номера, ад реса и т.д. Помимо этого в качестве параметров правил фильтрации мож но использовать встроенные отрасле вые терминологические словари, а также словари, которые пользователи могут создавать самостоятельно с уче том специфики их организации. Задание DLPполитик с применением методов контентной фильтрации для устройств (верхнее окно) и сетевaых протоколов (нижнее окно). Использование словарей ключевых слов и шаблонов упрощает конфигурирование сложных DLPполитик. 10 BCT_DL_A5_4_4_24p_2013.qxd 02.04.2013 Контроль буфера обмена. Device Lock позволяет превентивно предот вращать потенциальные утечки дан ных еще до того, как они передаются с компьютеров когда пользователи на меренно или случайно копируют дан ные между различными приложения ми и документами через встроенный в ОС Windows буфер обмена. Политики контроля DeviceLock могут быть нас троены для выборочной блокировки и аудита операций передачи данных че рез системный буфер между различ ными приложениями (например, из Microsoft Word в Excel или в OpenOffi ce). Контекстный контроль доступа пользователей к операциям буфера обмена обеспечивается на уровне 13:51 Page 11 объектов и типов данных включая файлы, текстовые данные, графичес кие изображения, аудиофрагменты (например, записи, сделанные Win dows Sound Recorder). Кроме того, De viceLock поддерживает селективное блокирование "снимков экрана", вы полняемых как стандартной функцией Windows PrintScreen, так и аналогич ными функциями различных приложе ний. Функция контроля буфера обме на играет значительную роль в защите терминальных и виртуальных сред в стратегии BYOD. Блокирование сним ков экрана, контроль передачи объек тов и данных из терминальной среды в память личного устройства пользо вателя, настраиваемое для выбранных С помощью ММСоснастки DeviceLock Group Policy Manager администраторы DeviceLock могут централизованно управлять политиками защиты от утечек данных через все типы потенциально опасных каналов коммуникаций, интерфейсов и устройств на компьютерах в масштабе всего леса доменов Active Directory организации. 11 BCT_DL_A5_4_4_24p_2013.qxd 02.04.2013 13:51 Page 12 DeviceLock® пользователей и групп, предотвраща ет использование одного из класси ческих методов утечки данных в тер минальных и виртуальных средах. Контроль синхронизации с мобиль* ными устройствами. Уникальная па тентованная технология собственной разработки позволяет DeviceLock опе ративно контролировать процесс об мена данными между компьютером и мобильными устройствами iPhone, iPod touch, iPad и на платформах Win dows Mobile и Palm, локально подклю ченными по интерфейсам USB, COM, IrDA, Bluetooth и WiFi. DeviceLock пе рехватывает, анализирует и фильтрует синхронизируемые данные с точнос тью до их типа, включая файлы, поч товые сообщения, контакты, заметки, эккаунты и т.д., дополнительно обес печивая событийное протоколирова ние операций обмена а также теневое копирование данных согласно центра лизованно задаваемым политикам. Контроль локальной синхронизации обеспечивает значительное повыше ние уровня защиты от утечек данных с корпоративных компьютеров в пов седневных ситуациях, когда сотрудни ки подключают к ним свои личные смартфоны или КПК и по халатности, изза ошибок или намеренно копиру ют на них служебную и деловую ин формацию. Контроль печати документов. Ис пользуя технологию перехвата опера ций системного спулера печати, Devi ceLock обеспечивает организациям возможность централизованно кон тролировать доступ сотрудников с их рабочих компьютеров к любым типам 12 принтеров, включая сетевые, подклю ченные локально, а также виртуаль ные принтеры печати в файл. В случае подключения принтеров к USB порту доступ к ним может контролироваться с точностью вплоть до модели а также уникального идентификатора отдель ного принтера. DeviceLock протоколи рует связанные с процессами печати события и автоматически передает их в центральную базу данных, где они сохраняются для целей аудита. Прави ла протоколирования задаются с тем же уровнем гранулированности, что и политика доступа к принтерам. Столь же гибко конфигурируется политика теневого копирования посланных на печать документов, копии которых сохраняются и передаются в централь ную базу данных сервера DeviceLock Enterprise Server для их анализа. Интеграция с внешними средства* ми шифрования. DeviceLock позволя ет задавать специальные политики доступа к съемным дискам, зашифро ванным при помощи внешних прог раммных средств шифрования. Ис пользуя такие политики, можно, нап ример, разрешить запись только за шифрованных данных на съемные уст ройства и запретить запись незашиф рованных данных. Политики автономного и оператив* ного режима. Для более гибкой за щиты компьютера от утечек данных агенты DeviceLock могут применять разные политики в зависимости от то го, подключен ли компьютер к корпо ративной сети или работает автоном но. В оперативном режиме компьютер работает, если он либо подключен к BCT_DL_A5_4_4_24p_2013.qxd 02.04.2013 сети, либо с него доступен контроллер домена или DeviceLock Enterprise Ser ver. В противном случае компьютер работает автономно. Детектирование режима работы и переключение меж ду заданными для них политиками De viceLock осуществляется агентом авто матически. Применение различных политик может быть использовано для реализации различных сценариев противодействия угрозам утечки в разных режимах доступности корпо ративных данных например, для запрета использования адаптеров Wi Fi, когда компьютер подключен к офисной сети компании, и снятия это го ограничения, когда командирован ный сотрудник включает компьютер в гостинице. Тревожные оповещения. DeviceLock обеспечивает тревожные оповещения администратора в реальном режиме времени (алертинг). Оповещения мо гут отправляться в почтовых сообще ниях по протоколам SMTP и/или SNMP. Предусмотрено два типа опове щений: административные (измене ние настроек сервиса, остановка аген та DeviceLock, изменения в списке ад министраторов DeviceLock Administra tors, неуспешные попытки пользовате ля внести изменения в политики и т.п.) 13:51 Page 13 и специфичные для устройств и прото колов. Настройка тревожных опове щений осуществляется администрато ром аналогично настройке правил ау дита, при этом не заменяет аудит. Обнаружение и блокирование ап* паратных кейлоггеров. DeviceLock обнаруживает USBкейлоггеры и бло кирует подсоединенные к ним клавиа туры. Кроме того, добавляя к вводи мым с клавиатуры данным "цифровой белый шум", DeviceLock делает беспо лезным использование PS/2 кейлогге ров, поскольку выделение подлинных "клавиатурных" сигналов из записан ного в память кейлоггера "шума" прак тически невозможно. Защита от локального администра* тора. Функция DeviceLock Administra tors обеспечивает защиту от удаления агента DeviceLock, изменения конфи гурации или нарушения его работос пособности со стороны пользователей даже в тех случаях, когда они имеют полные административные привиле гии на локальных компьютерах. При активированной функции DeviceLock Administrators никто, кроме авторизо ванных администраторов DeviceLock, не может подключиться к агенту, оста новить или удалить его. 13 BCT_DL_A5_4_4_24p_2013.qxd 02.04.2013 13:51 Page 14 DeviceLock® Режим наблюдения Внедрение решений на базе продуктов DeviceLock часто начинается с ре жима наблюдения, когда права пользователей по передаче и хранению данных никак не ограничиваются, однако, служба информационной бе зопасности организации использует установленные на рабочих компью терах агенты DeviceLock для всеобъемлющего протоколирования, сбора и анализа информации о характере поведения и уровне соответствия пользователей требованиям административно установленной политики безопасности корпоративных данных. Результаты наблюдения использу ются при создании профилей потоков данных для различных категорий работников и на их основе разработки базовых ограничительных DLPполитик, которые активируются на этапе полнофункционального внедрения DeviceLock. Кроме того, нередко уже на этапе наблюдения DeviceLock позволяет выявить и устранить серьезные нарушения или преступную деятельность со стороны инсайдеров. Протоколирование и поддержка централизованного аудита. Device Lock позволяет протоколировать все действия пользователей с устройства ми и файлами (копирование, чтение, удаление и т.п.), а также изменения в настройках агента Devicelock, время его старта и остановки. DeviceLock ис пользует стандартную подсистему со бытийного протоколирования Win dows, а также автоматически собирает данные аудита с удаленных компьюте ров в локальной сети и хранит их в центральной базе данных SQL сервера DeviceLock Enterprise Server (DLES). Доступ к базе данных DLES имеют только авторизованные администра торы DeviceLock, что обеспечивает ее защиту от удаления и искажения со 14 стороны пользователей, даже если они обладают локальными админис тративными правами. Для равномер ного распределения нагрузки в ло кальной сети можно установить нес колько экземпляров DLES, которые, в свою очередь, используют любое ко личество SQLсерверов для хранения данных. Теневое копирование. Функция те невого копирования DeviceLock позво ляет сохранять точную копию данных, копируемых пользователями на внеш ние устройства, печатаемых на ло кальные и сетевые принтеры, переда ваемых по сети, а также через после довательные или параллельные пор ты. Теневые копии файлов и данных, BCT_DL_A5_4_4_24p_2013.qxd 02.04.2013 включая файлы, извлеченные из ISO образов CD/DVD/BD дисков, сохраня ются в SQLбазе данных сервера DLES. Характеристики событийного протоко лирования и теневого копирования в DeviceLock гибко настраиваются для эффективного использования сетевых ресурсов и ресурсов БД SQLсервера с помощью таких механизмов, как пото ковое сжатие данных аудита и тенево го копирования, контроль пропускной способности сети, автоматический вы бор оптимального сервера DLES и ло кальной квоты кэша данных аудита и теневого копирования. Реализованная в ContentLock технология контентной фильтрации данных теневого копиро вания позволяет сохранять в цен тральной базе копии только тех доку ментов и объектов, которые значимы для задач аудита информационной безопасности, расследований нештат ных ситуаций и криминалистического анализа. В результате на порядки сни жаются требования к емкости храни лищ теневых копий и пропускной спо собности каналов связи при их пере даче в центральную базу DLES. Кон тентный анализ данных теневого копи рования поддержан для всех основ ных каналов передачи данных, вклю чая съемные носители и plugnplay устройства памяти, сетевые коммуни кации, синхронизацию данных с ло кально подключенными смартфонами, а также канал печати документов. Централизованный мониторинг. С помощью DeviceLock Enterprise Server (DLES) администраторы DeviceLock могут оперативно контролировать те кущее состояние агентов на удаленных компьютерах посредством их перио 13:51 Page 15 дического опроса и сохранения в жур нале мониторинга информации о те кущем состоянии, версии и настрой ках агентов. Кроме того, для указан ных администратором компьютеров DLES может сравнивать текущие DLP политики агентов с эталонными поли тиками, регистрировать информацию о выявленных отклонениях в журнал мониторинга, а также автоматически заменять текущие политики на эталон ные. Отчеты. DeviceLock поддерживает формирование графические отчетов на основе данных журналов аудита и теневого копирования, хранимых на сервере DeviceLock Enterprise Server. Отчеты могут автоматически отсылать ся на заданный адрес электронной почты. Кроме того, DeviceLock позво ляет формировать отчеты по установ ленным настройкам, применяемым на агентах DeviceLock, а также по Plugn Play устройствам (USB, FireWire и PCM CIA), которые используются на защи щаемых DeviceLock компьютерах. Сервер полнотекстового поиска. Опционально лицензируемый компо нент DeviceLock Search Server (DLSS) позволяет осуществлять полнотексто вый поиск по содержимому файлов теневого копирования и журналам ау дита, хранящимся в центральной базе данных сервера DeviceLock Enterprise Server. Использование DLSS значитель но снижает трудоемкость и повышает эффективность процессов аудита и расследования инцидентов информа ционной безопасности, включая зада чи криминалистического анализа и сбора доказательной базы. К основ BCT_DL_A5_4_4_24p_2013.qxd 02.04.2013 13:51 Page 16 DeviceLock® ным характеристикам DLSS относятся поддержка более 80 наиболее рас пространенных форматов, морфоло гический поиск и фильтрация "стоп слов" в текстах на семи языках, вклю чая русский, комбинирование слов и фраз и использование регулярных вы ражений в строке поиска, поддержка шаблонов и специальных символов, поиск по полям документов и числен ным диапазонам, сортировка пред ставления результатов поиска по реле вантности, весовым коэффициентам терминов и полей документов. Кроме того, DLSS поддерживает создание ин дексов по содержимому полей собы тийных записей DeviceLock, что позво ляет эффективно дополнять поиск по документам в теневой базе напри мер, поисковые запросы могут уточ няться значениями таких параметров 16 логзаписей, как имена пользовате лей, идентификаторы компьютеров, диапазон дат событий, типы опера ций, размеры и имена файлов, иден тификаторы периферийных устройств и т.д. Поддержка в DLSS индексирова ния и полнотекстного поиска по тек стовому содержимому заданий печати в форматах PCL и PostScript позволила полностью автоматизировать анализ текстовых данных в теневых копиях PCL и PostScript документов и сокра тить его время до диапазона секунд вне зависимости от размера базы по иска. Особенно важное для россий ских организаций преимущество тек стового парсинга PostScript докумен тов в DLSS состоит в корректном рас познавании образов кириллических знаков, что делает индексацию и по иск уникально точными. BCT_DL_A5_4_4_24p_2013.qxd 02.04.2013 13:51 Page 17 Реализованные проекты DeviceLock защищает персональные данные пациентов в Донецкой области Внедрение DeviceLock было осущест влено в рамках проекта обеспечения автоматизированными рабочими мес тами 72 центров первичной медико санитарной помощи Донецкой области и создания условий для электронного учета пациентов и защиты их персо нальных данных. Проект был реализован в рамках вы полнения Национального плана дейс твий на 2012 год по внедрению Прог раммы экономических реформ на 20102014 гг. «Богатое общество, кон курентоспособная экономика, эффек тивное государство», утвержденного Указом Президента Украины от 12 марта 20112 г. №187. Для создания электронного реестра па циентов в Донецкой области, компани ей АМИ было поставлено около 2 тысяч автоматизированных рабочих мест (АРМ) врача/регистратора. Для кон троля и предотвращения различных уг роз информационной безопасности на каждом ПК установлено специализиро ванное ПО DeviceLock 7, гарантирую щее высокий уровень предотвращения утечек, краж и непреднамеренных по терь информации, в том числе персо нальных данных пациентов. Главное управление здравоохранения Донецкой облгорадминистрации Сфера деятельности: Здравоохранение Основные задачи: Создание условий для электронного учета пациентов и защиты их персональных данных Производитель: DeviceLock Используемые продукты и решения: DeviceLock 7 17 BCT_DL_A5_4_4_24p_2013.qxd 02.04.2013 13:51 Page 18 DeviceLock® DeviceLock решает задачу контроля доступа к конфиденциальным данным «Пивденкомбанка» ПАО «Коммерческий Банк» Пивден комбанк» внедрил решение DeviceLock для контроля доступа пользователей к важной корпоративной информации и предотвращения ее утечки. Внедрение DeviceLock стало одним из этапов модернизации ИТ инфраструк туры банка. Учитывая не малое число сотрудников, количество которых только в Киеве составляет около 800 человек, риск утечки данных являлся довольно высоким. Внедрение Device Lock дало службе ИТ безопасности инструмент централизованного кон троля доступа пользователей к уст ройствам считывания информации и позволило более тщательно следить за их действиями внутри сети. «Внедрение подобных решений всегда приводит к корректировкам условий использования и управления информа ционными ресурсами, – сказал Владис лав Орловский, Ведущий инженер по программному обеспечению департа мента ИТ. – Но данные действия необ ходимы, если компания желает уберечь важную и нужную информацию от утеч ки и нежелательного распространения». При выборе продукта, который решил бы возложенные на него задачи, во вни мание, в первую очередь, бралась его гибкость, позиции на рынке и цена. Devi ceLock, в этом аспекте, оказался привле кательнее по нескольким причинам, во первых, на этапе тестирования пользова телям всегда доступна его полнофункци ональная тестовая версия, вовторых, в сети достаточно информации об успеш ных проектах внедрения DeviceLock, что вызывает доверие, втретьих, оператив ная реакция технической поддержки. ПАО «Коммерческий Банк» Пивденкомбанк» Финансовые услуги Основные задачи: Централизованный контроль доступа пользователей к устройствам считывания информации Производитель: DeviceLock Используемые продукты и решения: DeviceLock «ПІВДЕНКОМБАНК» – универсальное коммерческое учреждение, более 20 лет стабильно работающее на финансовом рынке Украины. Согласно градации НБУ Банк входит в III группу банков по величине активов. На 1 марта 2012 года размер чистых активов ПАО «КБ «ПІВДЕНКОМБАНК» составил 4 млрд 215 млн грн. «ПІВДЕНКОМБАНК» входит в Группу «МЕТАЛ ЮНИОН». Филиальная сеть финансовокредитного учреждения насчитывает 35 региональных подразделений. 18 BCT_DL_A5_4_4_24p_2013.qxd 02.04.2013 13:51 Page 19 АБ «Укргазбанк» внедрил DLP от DeviceLock Входящий в ТОП 20 крупнейших бан ков Украины, АБ «Укргазбанк» внедрил DeviceLock DLP Suite для защиты персо нальных данных клиентов и корпора тивной информации от утечки. Растущие требования банковской ин дустрии к информационной безопас ности, а также широкое использова ние сотрудниками съемных носителей информации, стали основными при чинами, которые побудили руководс тво «Укргазбанка» принять решение о внедрении средства защиты данных от утечки DeviceLock DLP Suite. «Имея не маленький штат сотрудни ков, порядка 4500 и ведя деятель ность на высоко конкурентном рынке банковских услуг, вопрос защиты кон фиденциальных данных клиентов и интеллектуальной собственности явля ется приоритетным. Поэтому внедре ние DLP решения для нас, как компа нии дорожащей своей репутацией, яв ляется не правилом хорошего тона или данью тенденциям, а залогом предос тавления клиентам качественных ус луг», – заметил Сергей Недзельский, начальник управления информацион ной безопасности АБ «Укргазбанка». С целью максимально обезопасить се бя от возможной утечки данных по всем возможным каналам передачи данных, банком было принято реше ние внедрить полный набор компо нентов DeviceLock DLP Suite. Таким об разом, отдел ИБ может контролиро вать передаваемые сотрудниками данные через интернет, включая сооб щения IM, вебпочты и социальных сетей, а также отправленные на съем ные носители и печать. АБ «Укргазбанк» Финансовые услуги Основные задачи: Контроль передаваемых сотрудниками данных через Интернет, централизованный контроль съемных носителей и вывода информации на печать Производитель: DeviceLock Используемые продукты и решения: DeviceLock DLP Suite Сегодня АБ «Укргазбанк» – одна из самых надежных и динамичных финансовых структур Украины, которая успешно функционирует на рынке банковских услуг. Вхо дит в 20 крупнейших банков Украины. Полноправный член MasterCard (2000), VISA (2002) и UkrCard (2002). Credit Rating: Национальный долгосрочный рейтинг «uaBBB», Прогноз – Стабильный; рейтинг надежности банковских депозитов на уровне "4". 19 BCT_DL_A5_4_4_24p_2013.qxd 02.04.2013 13:51 Page 20 DeviceLock® Компания TNT Express Ukraine выбрала DeviceLock для предотвращения утечки конфиденциальных данных С целью контроля доступа к конфиден циальным данным компании и предот вращения их утечки, TNT Express Ukrai ne внедрила программный продукт DeviceLock. По словам начальника ИТотдела TNT Express Ukraine, Игоря Толмачева, необ ходимость в программном продукте DeviceLock, возникла в связи с работой компании на высоко конкурентном рынке, где утечка конфиденциальных данных может нанести огромный ущерб компании. «Значительной частью бре шей в информационной безопасности компании являлись, как не странно, не атаки хакеров и вредоносное ПО, а действия инсайдеров. Перед нами стала задача, взять под контроль оборот ин формации внутри компании», – про комментировал Игорь Толмачев. При выборе продукта для решения дан ной задачи в инфраструктуре из 350 ра бочих станций и более 40 серверов и маршрутизаторов, руководство остано вилось на продукте DeviceLock, выделив его среди конкурентных решений за простоту и эффективность. Внедрение DeviceLock обеспечило ИТотдел пол ным контролем над тем, какие устройс тва подключаются к рабочим станциям, как они используются и какая информа ция на них записывается. Отдельно бы ла отмечена возможность теневого ко пирования переносимых на внешние носители данных, что дало администра тору полное представление о том, с ка кими документами выполнялись те или иные операции. Также, достаточно простым был процесс установки и внед рения продукта, чему поспособствовала профессиональная техническая помощь компании SPro, Ltd – сертифицирован ного дилера DeviceLock в Украине. Компания «Эльдорадо» Экспресс0доставка корпоративных грузов и корреспонденции Основные задачи: Контроль доступа к конфиденциальным данным компании и предотвращение их утечки Производитель: DeviceLock Используемые продукты и решения: DeviceLock TNT Express – лидер в сфере экспрессдоставки корпоративных грузов и корреспон денции. Украинское представительство компании насчитывает более 700 сотрудни ков в 20ти региональных офисах. TNT Express Ukraine обслуживает более 140 горо дов и выполняет порядка 10 000 операций в неделю. 20 BCT_DL_A5_4_4_24p_2013.qxd 02.04.2013 13:51 Page 21 Группа компаний «НИКО» внедрила DeviceLock для защиты от утечки информации C целью обезопасить себя от возмож ных утечек конфиденциальной инфор мации Группа компаний «НИКО» внед рила программный продукт DeviceLock – решение для контроля доступа сот рудников к периферийным устройс твам и портам вводавывода. Комментируя необходимость исполь зования подобного рода продукта, Андрей Демченко, начальник отдела информационных технологий в Груп пе компаний «НИКО», отметил: «Ин формационная безопасность стала одним из приоритетов в работе на шей организации. Мы уже вышли на тот уровень, когда возможная утечка конфиденциальных данных может нанести колоссальный финансовый ущерб. С началом использования программного продукта DeviceLock, мы сделали невозможным несанкци онированное копирование информа ции на сменные носители (флешна копители, диски, мобильные устройс тва), печать на принтеры и, как следствие, закрыли большинство пу тей утечки информации». При выборе продукта для решения данной задачи специалисты Группы компаний «НИКО» рассматривали программы от различных производи телей. Причиной выбора в пользу De viceLock стала его отличная функцио нальность, репутация лидера рынка и приемлемая цена. Кроме того, при тестировании решения был отмечен достаточно легкий процесс установки и первичной настройки продукта, а также профессионально оказанная по мощь технических специалистов ком пании SPro, Ltd. – сертифицированно го дилера DeviceLock в Украине. Компания «Эльдорадо» Автомобильный рынок Основные задачи: Защита от утечки конфиденциальной информации Производитель: DeviceLock Используемые продукты и решения: DeviceLock Группа компаний «НИКО», согласно результатов рейтинга «Гвардия корпораций» в 2008 г., вошла в число 50 самых дорогих компаний Украины и является одним из лиде ров отечественного автомобильного рынка. Размер ИТ инфраструктуры группы состав ляет около 800 компьютеров и серверов под управлением Microsoft Active Directory. 21 BCT_DL_A5_4_4_24p_2013.qxd 02.04.2013 13:51 Page 22 DeviceLock® Техническая спецификация Лицензируемые модули DeviceLock (базисный) ContentLock NetworkLock DeviceLock Search Server Контролируемые порты USB, FireWire, инфракрасный, последо вательный и параллельный Контролируемые типы устройств Floppyприводы, приводы CD ROM/DVD/BD, любые съемные носители данных (флэш, карты памяти и др.), жесткие диски, ленточные накопители, адаптеры WiFi и Bluetooth, устройства Apple iPhone/iPod touch/iPad, BlackBerry, Windows Mobile и Palm, принтеры (локальные, сетевые и виртуальные), модемы, цифровые камеры, сканнеры, устройства класса Terminal Service Devices Контролируемые сетевые коммуникации Почтовые протоколы и webсервисы (включая мобильные версии): MAPI (Microsoft Exchange), SMTP/SMTP over SSL, Gmail, Yahoo!Mail, Hotmail (Outlook.com), Mail.Ru, AOL Mail, Yandex.Mail, WEB.DE, GMX.de Социальные сети (включая мобильные версии): Facebook (+API), Twitter, Google+, LinkedIn, Tumblr, MySpace, Vkontakte (+API), XING.com, LiveJournal, MeinVZ.de, StudiVZ.de, SchuelerVZ.net, Disqus, LiveInternet.ru, Odnoklassniki.ru Сетевые сервисы файлового обмена и синхронизации: Google Drive, Dropbox, SkyDrive, RapidShare, Amazon S3, Yandex Disk, iFolder.ru (Rusfolder.com), Narod.ru 22 Службы мгновенных сообщений: Skype, ICQ/AOL, MSN Messenger, Jabber, IRC, Yahoo! Messenger, Mail.Ru Агент Сетевые протоколы: HTTP/HTTPSSL, FTP/FTPSSL, Telnet Прочее: внутрисетевые файловые ресур сы (SMB) Контроль буфера обмена Контроль операций обмена данными между приложениями Раздельный контроль типов данных: файлы, текстовые данные, графические данные, аудио данные, данные неиден тифицированного типа Контроль снимков экрана (для приложе ний и PrintScreen) Контролируемые типы данных Более 4000 типов файлов Объекты протоколов синхронизации с мобильными устройствами: Microsoft ActiveSync, Palm HotSync, iTunes Контроль текста в графических изобра жениях (встроенных в документы Microsoft Office и Adobe PDF или отдель ных графических файлах) Каналы контентной фильтрации Съемные носители данных и PlugnPlay устройства памяти Сетевые коммуникации Канал печати Технологии контентной фильтрации Поиск по ключевым словам с применением морфологического анализа (для английско го, французкого, итальянского, немецкого, испанского/каталанского, русского, порту гальского и польского языков) по целым BCT_DL_A5_4_4_24p_2013.qxd 02.04.2013 словам или частичному совпадению, под держка транслитерации для русского языка Поиск по шаблонам на базе регулярных выражений с числовыми и булевыми по рогами срабатывания Поиск по встроенным комплексным шаб лонам регулярных выражений (номера кредитных карт, адреса, паспортные дан ные и т.д.) Встроенные отраслевые терминологичес кие словари Поиск по расширенным свойствам доку ментов и файлов (имя, размер, наличие парольной защиты, дата и время изме нения, титул, тема, метки и категории документа, комментарии и авторы, нали чие отпечатка Oracle IRM и др.) Распознаваемые контентным анализом форматы файлов Более 80 форматов файлов, включая Mic rosoft Office, Adobe PDF, OpenOffice, Lotus 123, WordPerfect, WordStar, Quattro Pro, архивы и репозитории электронной почты, CSV, DBF, XML, Unicode, GZIP, RAR, ZIP, др. Контентная фильтрация при теневом копировании Все форматы файлов контентной филь трации Каналы: съемные носители данных и Plug nPlay устройства памяти, сетевые комму никации, локальная синхронизация с мо бильными устройствами, операции буфе ра обмена, канал печати документов Полнотекстовый поиск Все форматы файлов контентной филь трации Задания на печать в форматах PCL, Post script и др. Индексирование и поиск: комбинация слов, фраз, регулярных выражений, спе циальных символов, численных диапазо нов, полей документов, записей журна лов аудита Морфологический поиск и фильтрация "стопслов" для языков: русский, англий 13:51 Page 23 ский, французский, немецкий, итальян ский, японский, испанский Сортировка результатов поиска: комби нация слов и фраз по логике "И", реле вантность, весовые коэффициенты тер минов и полей документов Контроль виртуальных и терминальных сред Контролируются устройства хранения данных, сетевые ресурсы, USBустройс тва, принтеры, буфер обмена данными, последовательные порты, перенаправ ленные в терминальную сессию по про токолам RDP, ICA, PCoIP, HTML5/Web Sockets, равно как и сетевые коммуни кации виртуальных рабочих столов и клиентов терминальных сессий. Обеспе чивает DLPзащиту для виртуальных сред, ограничивая доступ к корпоратив ным приложениям и данным в страте гии BYOD Поддерживаемые среды: MS RemoteFX, Citrix XenApp, XenDesktop, XenServer, VMware View, Windows Virtual PC и Oracle VM VirtualBox Интеграция с криптографическими продуктами Windows 7 BitLocker To Go, PGP Whole Disk Encryption, TrueCrypt, SecurStar DriveCrypt, SafeDisk (Инфотекс), Lexar Media SAFE S1100 и S3000, Sophos SafeGuard Easy Требования к программно* аппаратным платформам Агент: Windows NT 4.0/2000/XP/Vista/7 или Server 2003/2008 (32bit/64bit ver sions); CPU Pentium 4, 64MB RAM, HDD 100MB Консоли управления DeviceLock: Win dows 2000/XP/Vista/7 или Server 2003/2008 (32bit/64bit); CPU Pentium 4, 2GB RAM, HDD 600GB Сервер: Windows Server 2003 R2; 2xCPU Intel Xeon QuadCore 2.33GHz, RAM 8GB, HDD 800GB; MSEE/MSDE или MS SQL Server 23 BCT_DL_A5_4_4_24p_2013.qxd 02.04.2013 13:51 Page 24 DeviceLock® [www.devicelock.com/ru] Официальный дистрибьютор DeviceLock в Украине тел./факс: +380 (44) 2733333 +380 (44) 2733333 Email: [email protected] www.bakotech.ua