InfoWatch Data Сontrol – решение проблемы утечки данных

--> Дата: Окт 7, 2009 42

Проблема контроля за распространением конфиденциальной информации существует не первый день. Раньше задача предотвращения утечек данных решалась в основном тремя способами:

разграничением прав доступа к различным ресурсам;
ограничением доступа к портам и внешним устройствам на уровне "разрешить/запретить доступ";
шифрованием данных.

Однако описанные выше методы обеспечивают защиту информации только в местах ее хранения и не дают возможности контролировать обработку и перемещение конфиденциальных данных.

Сегодня существуют специализированные технологии и решения, которые защищают конфиденциальные данные от внутренних угроз, контролируют их как в процессе хранения, так и в процессе обработки и передачи по различным каналам. При этом под внутренними угрозами понимаются как умышленные нарушения, так и непреднамеренные действия сотрудников в рамках своих прав доступа к данным. Такие решения получили название систем DLP (Data Leakage Prevention).

Современное DLP-решение – это система, которая позволяет предотвратить утечку именно конфиденциальных данных. При этом информация, которая не подпадает под гриф "конфиденциально", должна свободно передаваться по любым электронным каналам, не нарушая привычного хода бизнеса.

На рынке существует довольно много продуктов, позволяющих выявлять и предотвращать утечки конфиденциальной информации. Однако лишь немногие из них действительно можно назвать DLP-системами. Еще меньше решений, которые ориентированы не на крупных заказчиков, а на небольшие и средние компании. Таким решением является новая разработка InfoWatch Data Control – интегрированный продукт для комплексной защиты конфиденциальных данных компаний среднего и малого бизнеса. Решение представляет собой программно-аппаратное устройство, которое выполняет мониторинг и фильтрацию данных, передаваемых за пределы компании по электронной почте, через Web или Интернет-пейджеры.

Решение предназначено для компаний, работающих с персональными данными, а также обладающих ценной технологической информацией, потеря которой может сказаться на их конкурентоспособности (ИТ, фармацевтика и т.п.). InfoWatch Data Control позволяет минимизировать юридические риски, связанные с утечкой информации и соблюдением требований законодательства, а также предотвратить финансовые потери (недополученная прибыль и т.п.).

Активная защита

InfoWatch Data Control не только ведет мониторинг данных, выходящих за пределы компании, и их категоризацию, но и предотвращает утечку критических данных, заблокировав перемещение тех из них, которые признаны конфиденциальными.

Технологии фильтрации

В основе решения заложен принцип гибридного анализа информации – интеграция современных технологий детектирования критичной информации в различных документах и текстах, как то: лингвистический и морфологический анализ, цифровые отпечатки и детектор объектов. Метод морфологического анализа позволяет защищать документы на любом этапе их жизненного цикла. Применяемые алгоритмы не требуют предварительной обработки внутренней документации компании для того, чтобы в дальнейшем она могла быть выявлена системой контроля за утечкой данных, и не нарушают существующий документооборот. Решение позволяет анализировать даже небольшие объемы информации (сообщения ICQ).

Простота настройки и сопровождения

Все компоненты решения сосредоточены на одном сервере, с сокращением количества параметров, настройка которых требует специализированных знаний. Поэтому администрирование решения не требует отдельного ИТ-специалиста. InfoWatch Data Control поставляется и как отдельное программное решение, которое может быть установлено на любой сервер с характеристиками, отвечающими рекомендованным.

Рекомендуемая конфигурация

Аппаратные требования: сервер HP ProLiant DL320 G5p (четырехъядерный процессор Intel Xeon 3320 2,50 ГГц, 8 Мбайт кэш-памяти 2 уровня); частота шины 1333 МГц; 2 Гбайт RAM (максимальный объем памяти – 8 Гбайт).

Программные требования: Red Hat Linux ES 4 update 5 x86-32; Oracle Standard Edition One 11g / Standard Edition 11g; консоль управления; ОС Microsoft Windows XP Service Pack 2, Microsoft .Net Framework 2.0.

Простота и удобство использования

Настройка различных компонентов InfoWatch Data Control, таких как системы перехвата или модуль анализа, возможна в рамках единой консоли. Эта консоль также позволяет в режиме реального времени отслеживать все перехватываемые системой события. Решение снабжено набором предустановленных настроек, что позволяет ввести его в эксплуатацию сразу же после подключения.

Перехват и фильтрация трафика

InfoWatch Data Control выполняет перехват и фильтрацию исходящей их компании информации по следующим каналам: электронная почта, Интернет (Web-почта, форумы, чаты и т.д.), ICQ и другие Web-пейджеры. При этом DLP-система должна не только фиксировать утечку конфиденциальной информации, но и давать возможность ее предотвратить. Поэтому InfoWatch Data Control поддерживает для всех контролируемых каналов схемы интеграции «в разрыв», когда решение устанавливается непосредственно на канал передачи данных, что позволяет блокировать несанкционированную пересылку информации.

Анализ и принятие решения

Чтобы не допустить утечки конфиденциальных данных, система защиты должна проанализировать перехваченные данные, определить, являются ли они конфиденциальными, и принять решение, пропускать их дальше или нет. При этом качество и точность фильтрации – одни из наиболее критических показателей.

Технологии гибридного анализа, используемые в продукте InfoWatch Data Control, позволяют комбинировать различные методы анализа перехваченных данных, обеспечивая тем самым максимальную степень защиты конфиденциальных данных.

В процессе анализа InfoWatch Data Control проверяет как формальные атрибуты перехваченного объекта (размер, тип вложения и т.п.), так и его содержимое. На основании правил автоматической обработки система выносит вердикт о конфиденциальности перехваченных данных и принимает решение о том, блокировать ли данные.

Детектирование и распаковка

Одна из важных задач, решаемых в процессе анализа перехваченных объектов, – это определение типа пересылаемого контента и корректное извлечение текста из перехваченных объектов.

Пример: сотрудник банка, в котором было установлено решение InfoWatch, контролирующее Web-почту, пересылал в другой банк списки надежных заемщиков. Для того чтобы обмануть систему, он пытался "спрятать" пересылаемую информацию, меняя исходное расширение файла на MP3. Однако решение InfoWatch обнаружило несоответствие между действительным типом файла и его расширением. Таким образом был выявлен инсайдер.

InfoWatch Data Control поддерживает работу со следующими типами файлов:

мультимедиа и графические форматы – TIFF, JPEG, GIF, PNG, EMF, WMF, MP3, WAV, AVI, WMV;
форматы баз данных – Microsoft Access (MDB);
детектирование и распаковка архивов – ZIP, RARGZIP, BZIP2, TAR, ARJ, LHA;
текстовые объекты – Microsoft Office 97-2007 (Microsoft Word, Excel, PowerPoint), Outlook; TNEF, RTF, PDF, TXT, HTML, XML.

Контентный анализ текста

Помимо анализа по формальным атрибутам (отправитель, получатель, тип вложения и т.п.) InfoWatch Data Control проводит анализ содержимого перехваченных данных. Контентный анализ выполняется на основе заранее созданной базы контентной фильтрации (БКФ). БКФ не только описывает категории информации, циркулирующей в компании, но и учитывает различные атрибуты ее конфиденциальности, в том числе специфику деятельности компании, ее требования к безопасности. В итоге тексту присваиваются те или иные категории (различные степени конфиденциальности либо отсутствие конфиденциальности), соответствующие его тематике и содержанию.

Хранение и ретроспективный анализ

В отличие от многих конкурентных решений, вся информация, прошедшая через InfoWatch Data Control, хранится в едином унифицированном виде в универсальном хранилище InfoWatch Storage. В случае необходимости вся собранная информация доступна офицеру информационной безопасности для анализа. Поиск данных возможен по следующим критериям:

формальным признакам перехваченных объектов (перехватчик, отправитель/получатели, дата/время отправки и т.д.);
атрибутам, добавленным в процессе обработки объекта (вердикт, теги и т.д.);
содержимому перехваченных объектов (полнотекстовый поиск).