Zlock 2.0: обновленная защита от инсайдеров
Перед руководством и службой безопасности любой современной компании стоит важнейшая проблема — лояльности сотрудников, или, как ее сейчас часто называют, проблема инсайдеров. Очевидно, что обиженный или недовольный сотрудник, имеющий легальный доступ к сетевым и информационным ресурсам и обладающий определенными знаниями о структуре корпоративной сети, может нанести своей компании гораздо больший ущерб, чем хакер, взламывающий эту сеть через Интернет. По различным оценкам, от 50 до 80% атак, направленных на получение информации ограниченного доступа, начинается из локальной сети предприятия (интрасети). Особенную актуальность проблема внутренних угроз получила в связи с появлением и повсеместным распространением мобильных накопителей информации, подключаемых через USB-порты: устройств флэш-памяти, жестких дисков с USB-интерфейсом, mp3-плееров и т. д. Если служба безопасности не предпринимает специальных мер для блокировки USB-портов, нелояльно настроенный сотрудник может практически незаметно пронести на территорию предприятия компактный носитель большого объема, после чего, используя свой легальный корпоративный доступ к информации, скопировать на этот носитель всю интересующую его информацию и вынести его за пределы контролируемой территории.
Для решения проблемы несанкционированного использования периферийных устройств в корпоративной сети можно использовать разработку компании SecurIT (www.securit.ru) — систему контроля доступа к внешним устройствам Zlock. Основное назначение системы — ограничение и контроль доступа пользователей к внешним устройствам, например, к USB-устройствам флэш-памяти и внешним накопителям.
В середине декабря компания SecurIT объявила о выпуске новой версии продукта Zlock 2.0, возможности которой значительно расширены. В новой версии установка и управление системой возможны не только из собственной консоли управления, но и с помощью групповых политик Active Directory. Через групповые политики можно выполнять установку и удаление Zlock, а также распространение политик доступа и настроек системы, что упрощает внедрение и использование системы в крупных корпоративных сетях. Кроме того, расширяются возможности администрирования Zlock в компаниях с разделенными службами ИТ и безопасности — теперь сотруднику службы безопасности необязательно иметь привилегии локального администратора на компьютерах пользователей, поскольку управление осуществляется средствами домена. Через групповые политики Active Directory можно также задавать временные политики доступа, которые при обновлении групповых политик у пользователя будут автоматически удалены. Это позволяет настраивать для пользователей временное разрешение или запрет использования определенных устройств средствами домена. Кроме того, реализована более тесная интеграция с Active Directory, которая заключается в возможности загрузки доменной структуры и списка компьютеров в систему Zlock. При установке клиентских частей на компьютеры пользователей не требуется перезагрузка системы, что также упрощает и ускоряет внедрение.
Еще одно новшество в Zlock 2.0 — автоматическое «теневое копирование» (shadow copy) файлов, которые пользователи записывают на внешние накопители. Это позволяет контролировать ситуацию даже в том случае, если пользователю разрешена запись на внешние устройства, поскольку администратор информационной безопасности будет точно знать, что именно на них записывается. В режиме «теневого копирования» вся информация, записываемая на внешнее устройство, незаметно для пользователя копируется в защищенное хранилище на локальной машине и потом переносится на сервер. Это расширяет возможности аудита, позволяя проводить расследование инцидентов. При этом можно отслеживать информацию только для определенных пользователей, групп пользователей и носителей, которые подпадают под действие конкретной политики доступа Zlock. Это значительно повышает избирательность применения функции теневого копирования: например, можно копировать в хранилище только ту информацию, которая была записана на подозрительные или неизвестные системе Zlock USB-устройства.
Добавлена также возможность использовать сервер журналирования. Сервер журналирования — это собственная разработка компании SecurIT, позволяющая значительно быстрее и надежнее собирать, хранить и обрабатывать события системы Zlock на выделенном компьютере. Клиентские модули Zlock записывают все происходящие события на сервер журналирования, а если он недоступен, информация о событиях хранится на клиентском компьютере и пересылается на сервер, когда соединение с ним восстанавливается. Информацию о событиях можно записывать в базу данных Microsoft SQL Server или в XML-файлы; причем хранение ее в базе данных Microsoft SQL обеспечивает более высокую надежность и производительность. Отметим, что в Zlock 2.0 реализовано расширенное журналирование изменения политик доступа к внешним устройствам. Это позволяет детально анализировать изменения и действия администраторов Zlock и расширяет возможности аудита в больших корпоративных сетях.
В новой версии расширен и спектр контролируемых устройств. Теперь есть возможность контролировать использование любых (а не только USB) сетевых адаптеров, в том числе Wi-Fi и Bluetooth, а также контроллеров IrDA. Поддержка ОС Windows Vista позволит организациям, которые уже перешли на эту ОС, реализовывать политики доступа к внешним устройствам и портам на всех рабочих станциях корпоративной сети в полном объеме.
Таким образом, благодаря новым возможностям Zlock 2.0 ИТ-департаменты и службы безопасности компаний любых масштабов смогут разрабатывать и проводить в жизнь более гибкие политики безопасности, учитывающие большинство реалий современного информационно-ориентированного бизнеса.