Zgate 2.0: IPC-система для контроля сетевого трафика
В нынешнем году задачи защиты информации от внутренних угроз (Information Protection and Control, IPC) получили большую поддержку руководства компаний, чем в докризисные времена. Риски, связанные с действиями инсайдеров, уже давно стали очевидными для руководства организаций, даже небольших. В нестабильной финансовой ситуации растет число недовольных и обиженных сотрудников, которые могут в любой момент незаметно вынести за пределы организации доступную им конфиденциальную информацию. Спорный федеральный закон № 152-ФЗ «О персональных данных» также предписывает защищать информацию, которая относится к категории персональных данных. Персональные данные хранятся и обрабатываются практически в любой организации, а значит, требуют защиты от различных внутренних и внешних угроз, в том числе от утечек через почту и Интернет-ресурсы. Не стоит забывать и о требованиях отраслевых стандартов, таких как стандарт Банка России СТО БР ИББС-1.0-2008, PCI DSS, Кодекс ФСФР и других, которые только разогревают IPC-рынок.
Определение IPC появилось всего несколько лет назад. Концепция IPC включает в себя DLP (Data Loss Prevention) и решения для защиты данных при хранении. Впервые совмещение различных на первый взгляд технологий было предложено аналитиком IDC Брайаном Бюрком в отчете Information Protection and Control Survey: Data Loss Prevention and Encryption Trends.
В системах IPC контролируется стандартный для DLP-систем список каналов: электронная почта, Web-ресурсы (Web-почта, социальные сети, блоги), ICQ, USB-устройства и принтеры. В IPC к этим возможностям добавляется шифрование данных на серверах, магнитных лентах и в конечных точках сети – на ПК, ноутбуках и мобильных накопителях. Кроме перечня контролируемых каналов и шифруемых носителей информации, IPC существенно различаются набором методов детектирования конфиденциальных данных.
В решениях класса IPC применяется ряд технологий поиска конфиденциальных данных в массиве передаваемой информации.
Анализ по формальным признакам документа. Это базовые возможности, которые есть практически у любого зрелого решения. Позволяют на самом первом этапе ограничить передачу или печать запрещенных документов.
Регулярные выражения и готовые шаблоны типовых данных. Шаблоны позволяют предотвратить утечку типовых данных: паспортных данных, номеров телефонов, адресов и т. д. Это наиболее эффективный способ защиты персональных данных и финансовой информации.
Поиск внутри файлов и в тексте сообщений по сигнатурам и с использованием лингвистических технологий. Суть метода аналогична тому, которой используется в поисковых системах. Он позволяет добиться высокой эффективности при правильном составлении списка запрещенных к передаче конфиденциальных слов и выражений.
Технология цифровых отпечатков (digital fingerprint). Метод цифровых отпечатков предполагает сравнение анализируемых данных с заранее созданной базой цифровых отпечатков конфиденциальных документов. В результате определяется вероятность присутствия в документе конфиденциальной информации. Технология продвигается в основном западными DLP-разработчиками.
Метод Байеса. Используется в большинстве систем для борьбы со спамом. Метод Байеса работает на основе полученных ранее статистических данных об особенностях конфиденциальных документов по сравнению со всеми остальными. Точность работы, по разным оценкам, составляет 95–97%.
В ноябре 2009 г. компания SECURIT, российский разработчик IPC-систем, объявила о выпуске новой версии одного из своих флагманских продуктов Zgate 2.0. Система Zgate позволяет контролировать сетевые каналы утечки конфиденциальной информации. Основным нововведением в Zgate 2.0 стала возможность контроля сообщений, посылаемых пользователями посредством Web-почты, социальных сетей, блогов, форумов и ICQ. Для проверки отправляемых сообщений и файлов можно задействовать все технологии детектирования: от проверки формальных атрибутов документов до цифровых отпечатков и лингвистического анализа. Дополнительно любые передаваемые сообщения и файлы можно поместить в архив для дальнейшего анализа или расследования инцидентов.
В предыдущих версиях Zgate уже использовались методы сигнатурного и лингвистического анализа, а также метод Байеса для детектирования конфиденциальных данных. В Zgate 2.0 дополнительно реализованы еще две технологии детектирования. Для блокирования утечек информации, имеющей типовую структуру, в новой версии Zgate добавилась возможность использования шаблонов и регулярных выражений. С помощью регулярных выражений предотвращаются утечки персональных данных, финансовой информации и проектной документации в соответствии с требованиями 152-ФЗ «О персональных данных», PCI DSS, Basel II и Стандарта Банка России СТО БР ИББС-1.0-2008. Вторая новая технология – возможность сравнивать пересылаемую информацию с базой цифровых отпечатков существующих в организации конфиденциальных документов и определять такие данные даже в случае их существенной модификации. За счет этой технологии существенно упрощается и ускоряется внедрение Zgate, так как она не требует специальных навыков и знаний. Необходимо лишь указать папки с конфиденциальными документами и задать вероятность совпадения с базой цифровых отпечатков, после которого передаваемые данные блокируются или отправляются на ручную проверку администратору Zgate.
Для хранения архива в Zgate 1.2 была предусмотрена поддержка Microsoft SQL Server. В Zgate 2.0 появилась поддержка распространенной в крупных компаниях СУБД Oracle Database, а также настройка сжатия архивируемых данных. На текущий момент Zgate – первое IPC-решение, которое поддерживает обе СУБД. Дополнительно в новой версии добавлена поддержка сетевого трафика, перенаправляемого маршрутизаторами в режиме зеркалирования (port mirroring). Обработка перенаправляемого сетевого трафика дает возможность использовать Zgate в режиме сбора и анализа инцидентов, аналогично традиционным DLP, и упрощает процесс первичного анализа сетевой активности на этапе пилотного внедрения системы.