Issuu on Google+

SYMANTEC

DATA LOSS PREVENTION


Обзоры ____________________________________________________________________________

SYMANTEC

DATA LOSS PREVENTION

____________________________________________________________________________ Направление защиты информационных ресурсов сегодня, безусловно, является одним из наиболее перспективных. Причин тому несколько и одна из основных это то, что информационные активы организации всегда были и будут иметь большое значение — от них напрямую зависит будущее компании, её успех. В сфере информационной безопасности есть два основных вопроса: как защищать и что защищать? Ответ на последний вопрос особенно актуален, так как в первую очередь нужно заботиться о критически важных данных: личной информации, коммерческой тайне, технической документации и т.п. В недавних выпусках журнала вы найдете статьи о решениях Symantec защищающих информацию путём резервного копирования и архивирования, а также о защите информационной инфраструктуры от вредоносного программного обеспечения. В этой публикации речь пойдёт о защите от утечек конфиденциальной информации (или data loss prevention). Владимир Кинд Департамент программного обеспечения Компания ERC

Существует множество путей, которыми электронная информация может покинуть отведённое для неё рабочее пространство и попасть совсем не туда, не в те руки. Электронная почта — один из наиболее распространённых путей. Можно документы распечатать. Можно скопировать на внешний носитель, будь то USB-накопитель (попросту, флэшка) или записываемый компакт-диск. Сегодня даже MP3-проигрыватель может быть использован в качестве переносного носителя информации. Вспомним про WEB 2.0. ____________________________________ Четвёртый год подряд Symantec Data Loss Prevention, универсальное решение по защите от утечек конфиденциальной информации, становится лидером в отчёте Gartner. ____________________________________ Публикацию данных на блогах и форумах. Или обмен мгновенными сообщениями. Путей очень много. Утечка конфиденциальных данных может произойти как случайно, так и злонамеренно. И в том, и в другом случае нужно принимать меры по защите важной информации. Уже ни для кого не секрет, что львиная доля всех угроз связана с «инсайдерами» и большая часть из намеренных посягательств на конфиденциаль-

2

ные данные является финансово мотивированной. Даже случайная оплошность сотрудника, переславшего конфиденциальные данные не по адресу, может привести к финансовым потерям и другим неприятностям. Чего тогда ожидать от действий со злым умыслом? Многие компании понимают, что им есть, что терять, и DLP-решения начинают пользоваться заслуженным спросом. Не удивительно, что в авангарде украинских компаний, использующих DLP уже сейчас, мы видим представителей финансового сектора и крупных телекоммуникационных операторов. С развитой информационной инфраструктурой, такие компании готовы внедрять DLP-решения и понимают критичность и пользу подобных решений. Стоит отметить, что в поисках конфиденциальной информации упомянутые категории компаний часто бывают предметом атак, в том числе и внутренних. Не стоит забывать о том, что, например, те же базы данных с личными сведениями о людях намного проще получить не в банке, а скажем, в отеле или лечебном учреждении. Имя и фамилия, номера кредитных карточек, всё то же самое, но с менее сильной защитой. Таким организациям тоже стоит задуматься о том, как обезопасить свои информационные ресурсы и выбрать подходящее решение DLP.


Symantec. Data Loss Prevention

ЧТО ТАКОЕ SYMANTEC DATA LOSS PREVENTION? _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _

- Как они используются? - Как лучше предотвратить их потерю?

DISCOVER

MONITOR

DATA LOSS PREVENTION (DLP)

PROTECT

Ëîêàëüíûå äèñêè

Ìãíîâåííûå ñîîáùåíèÿ

USB/CD/DVD Íîóòáóêè

Âåá Áóôåð îáìåíà Ïå÷àòü Ôàêñ

Ôàéëñåðâåðû

Ýë.ïî÷òà Âåá-ïî÷òà

Çàùèòà

òü Ñå

Ïî÷òà

öèè í à

Êîíòðîëü è ïðåäîòâðàùåíèå Îáíàðóæåíèå è çàùèòà

èñ

Ñ

Основываясь на многолетнем опыте работы со своими заказчиками, компания Symantec определила 3 ключевых требования для решения DLP: оно должно уметь работать с конечными точками, сетью и также хранилищами данных. На конечных точках (т.е. настольных ПК, ноутбуках и т.п.) заказчикам нужно решение DLP на основе агента, способное закрыть все возможные каналы утечки информации, характерные для этого типа устройств. Среди них: копирование на USB-носители, на диски CD/DVD или сетевые папки, отправка по факсу, печать и т.п. Сюда же следует добавить защиту сетевых протоколов, таких как электронная почта, веб, FTP и обмен мгновенными сообщениями. Особенно это актуально в случае, когда компьютер отключен от корпоративной сети и подключен к «ненадёжной» сети (например, Wi-Fi в кафе, отеле или подключение к домашней сети с доступом в Интернет). Наконец, решение DLP должно уметь сканировать внутренние жесткие диски на конечных точках, чтобы обнаруживать хранящиеся там конфиденциальные данные и, при необходимости, перемещать их в защищённое место. Сетевое решение DLP должно находиться там, где данные могут покинуть и покидают пределы организации, сканировать протоколы (электронная почта, веб-почта и т.п.) в поисках конфиденциальных данных. Если сетевое решение DLP обнаруживает, что важные данные покидают сеть компании, оно

òåì

FTP

íè

ÿ

- Где находятся конфиденциальные данные?

должно заблокировать эту возможность. Такое решение необходимо в дополнение к решению DLP на конечных точках, чтобы обеспечить многоуровневую защиту. Хорошим подходом является применение таких технологий безопасности, как межсетевой экран и антивирусная защита, вместе с решением DLP для сети и конечных точек. Важным назначением сетевого решения DLP является работа с передачей данных по сети «неуправляемыми» конечными точками, на которых нельзя запустить агент DLP, например, КПК, ноутбуки гостей, компьютеры с операционными системами Mac OS или Linux, старыми версиями Windows, FTPсерверы и т.д. Что касается хранилищ данных, очевидно, что беспечно хранящиеся конфиденциальные данные могут находиться всего в нескольких щелчках мыши от того, чтобы покинуть сеть организации. Заказчикам важно знать есть ли конфиденциальные данные в файловых папках, базах данных и других репозиториях, и, если необходимо, переместить в защищённое расположение.

Ðàáî÷èå ñ ò

Решение Symantec Data Loss Prevention 11.1 позволяет ответить на 3 ключевых вопроса:

û õðàíå

SharePoint/ Lotus Notes

Áàçû äàííûõ

Äîêóìåíòàöèÿ

В итоге, заказчики желают иметь решение, позволяющее централизованно создавать политики по предотвращению утечек конфиденциальной информации и закрывающее сразу все три описанных выше вектора угроз. Давайте посмотрим, как Symantec DLP работает в этих направлениях обеспечения безопасности секретных данных.

3


Обзоры

Интерфейс веб-консоли Symantec DLP доступен на русском языке. Визуальные элементы отчётов легко настроить

Фрагмент списка инцидентов

4


Symantec. Data Loss Prevention

Детальная информация по отдельному инциденту

Пример настраиваемого уведомления пользователя, отображаемого в ответ на действие, противоречащее политике Symantec DLP

5


Обзоры АРХИТЕКТУРА SYMANTEC DLP _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ На схеме ниже представлена многоуровневая архитектура решения Symantec Data Loss Prevention 11.1. Каждый прямоугольник на этой схеме представляет собой отдельный физический сервер с установленным на нём программным компонентом Symantec DLP. Синим шрифтом на схеме обозначены названия этих программных компонентов, которые одновременно являются и названиями (SKU) доступных к заказу продуктов. Важно помнить, что Symantec DLP — это программное обеспечение, а не устройство. Серверное программное обеспечение устанавливается в операционной среде Windows или Linux. Также обратите внимание, что часть компонентов Symantec DLP устанавливается внутри корпоративной сети, а остальные «живут» в демилитаризованной зоне (DMZ). В центре схемы находится Symantec DLP Enforce Platform. Эта платформа обеспечивает централизованный интерфейс управления системой для создания политик, отчётов, уведомлений. После создания, политики DLP сохраняются в базе данных Enforce (Oracle 10 или 11). Также эти политики DLP незамедлительно отправляются в модули DLP и хранятся в локальной памяти (RAM) на устройствах, где производится обнаружение конфиденциальной информации. Если политики нарушаются, генерируется соответствующий инцидент. Он отправляется обратно на Enforce, где потом и хранится. Доступ к интерфейсу Enforce можно осуществлять с помощью браузеров Microsoft Internet Explorer или Mozilla Firefox. Сервер Enforce и базу данных можно Õðàíåíèå Network Discover

Data Insight

Network Protect

Ïîëèòèêè/ Óïðàâëåíèå

Enforce Platform

Êîíå÷íûå òî÷êè Endpoint Discover Endpoint Prevent

Êîðïîðàòèâíàÿ ËÂÑ Âíå ñåòè (îòêëþ÷åíà)

6

установить как на один физический сервер, так и отдельно. Справа на схеме сетевые продукты Symantec DLP находятся в демилитаризованной зоне (DMZ). Компонент Network Monitor в пассивном режиме просматривает копию сетевого трафика, получаемого по со SPAN-порта или c TAP. Продукты Network Prevent могут не только мониторить, но и блокировать возможность данным покинуть пределы сети. Network Prevent for Email интегрируется с агентом передачи почтового трафика (MTA) для блокирования SMTP-трафика или его модификации и последующей передачи. Network Prevent for Web интегрируется с поддерживаемым вебпрокси, чтобы блокировать или удалять содержимое в веб-запросах. Слева внизу на схеме расположен�� продукты Symantec DLP, находящиеся в корпоративной сети (LAN). Обратите внимание, что Endpoint Discover и Endpoint Prevent — это одна инсталляция. Она «общается» с единым небольшим агентом, установленным на ноутбуках и настольных ПК, чтобы осуществлять обнаружение информации и, в случае необходимости, предотвращать её утечку. Endpoint Prevent может отслеживать копирование конфиденциальных данных на жёсткий диск компьютера, а также, осуществлять мониторинг и блокировать копирование информации на USB, CD, DVD, в буфер обмена, контролировать печать, отправку по факсу, копирование с сетевых и на сетевые папки. Последняя функция имеет ограничение — контроль производится только при использовании Windows Explorer. Также Endpoint Prevent позволяет блокировать отправку конфиÑåòü денциальных данных с помощью поддерживаемых почтовых клиенNetwork тов и Web-браузеров. Endpoint Monitor Discover может производить параллельное сканирование тысяч конечных точек, находить секретную информацию и, опциSPAN Port èëè Tap онально, помещать в карантин хранящиеся локально на ПК данNetwork Network Prevent Prevent ные. Эти агенты хранят полиfor for Email Web тики DLP внутри себя, так что даже если ноутбук, например, отключить от корпоративной сети, политики DLP будут проMTA Web Proxy должать действовать. DMZ Слева, в верхней части схемы, находятся продукты для работы с хранилищами данных, которые так же, как в случае


Symantec. Data Loss Prevention

па (это справедливо только при использовании протокола CIFS). Data Insight — это Network Ïîëèòèêè/ Discover Data Network полнофункциональное решеInsight Óïðàâëåíèå Monitor Network ние для наведения порядка Protect в неструктурированных данных. •Óñòðîéñòâà •Ôàéëîâûå ñåðâåðû •SMTP NAS •Áàçû äàííûõ Data Insight позволяет соби•HTTP •Ïëàòôîðìû •IM âçàèìîäåéñòâèÿ Enforce рать информацию о владель•FTP •Âåá-ñàéòû Platform •Ëþáîé íà îñíîâå TCP •Íîóòáóêè/ цах документов, использоваíàñòîëüíûå ÏÊ нии файлов и правах доступа Конечные точки •Ïîëèòèêè Network Network •Workflow к ним на файловых сервеEndpoint Prevent Prevent •Îò÷¸òû Discover for for •Àäìèíèñòðèðîâàíèå рах Windows и поддерживаеEmail Web Endpoint мых устройствах NAS (Network Prevent Attached Storage). Data •SMTP •HTTP •Discover/ •Ïå÷àòü/ôàêñ è HTTPS relocate data •Ñåòåâûå ðàñïîëîæåíèÿ Insight интегрируется с ком•FTP •USB/CD/DVD •Äîñòóï ïðèëîæåíèé •Email, web, ê ôàéëàì понентом Network Discover для FTP, IM •Êîïèðîâàíèå/âñòàâêà предоставления дополнительÊîðïîðàòèâíàÿ ËÂÑ DMZ ной информации об инцидентах в области хранения данных, включая уровни рисков для с продуктами группы Endpoint, располагаются каждой папки, список активных пользоватевнутри корпоративной сети. Network Discover лей файла и полную историю доступа к нему. и Protect — это одна инсталляция. Network В отличие от других серверных компоненDiscover сканирует репозитории данных (файтов Symantec DLP, Data Insight не произволовые серверы, хранилища документов, сайты дит обнаружение конфиденциальных данных, по взаимодействию [SharePoint] и базы дана выполняет второстепенную, но очень полезных) и осуществляет поиск конфиденциальных ную задачу. данных. Network Protect дополняет Discover На схеме архитектуры Symantec DLP, распои может копировать или помещать в каранложенной выше на этой странице, схематически тин важные данные, чтобы защитить их от показаны угрозы и протоколы данных, которые возможного несанкционированного достуможно отслеживать и блокировать. Õðàíåíèå

Ñåòü

ОБНАРУЖЕНИЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ Обнаружить важную информацию можно несколькими способами: DCM

Described Content Matching

Îïèñûâàåìûå äàííûå

•Íåèíäåêñèðóåìûå äàííûå •Ëåêñèêà •Èäåíòèôèêàòîðû äàííûõ

EDM

Exact Data Matching

Ñòðóêòóðèðîâàííûå äàííûå Äàííûå î êëèåíòàõ

•Êëèåíòû/ Ñîòðóäíèêè/Öåíû •×àñòè÷íîå ñîâïàäåíèå •Ïî÷òè 100% îïðåäåëåíèå

IDM

Indexed Document Matching

Íåñòðóêòóðèðîâàííûå äàííûå Èíòåëëåêòóàëüíûå äàííûå

•Äèçàéí/Êîä •Ïî÷òè 100% îïðåäåëåíèå

DCM ИЛИ DESCRIBED CONTENT MATCHING DCM — это механизм поиска информации по ключевым словам. Применяется к неиндексируемым данным. Использует идентификаторы дан-

_______________________

ных, которые можно описать строго заданным форматом: номера паспортов, кредитных карт, страховых полисов, IP-адресов и т.п. IDM ИЛИ INDEXED DATA MATCHING IDM использует цифровые отпечатки с неструктурированных данных (текстовый документ, текст письма, код программы). Размер цифрового отпечатка для неструктурированных данных составляет приблизительно 0,1% от размера исходного файла. Цифровые отпечатки позволяют впоследствии определить насколько новый документ похож на исходный. То есть система DLP сможет отслеживать не только исходный секретный файл, но и похожий на него (если кто-то скопировал часть документа, сохранил его в другом формате, удалил некоторые слова, изменил местоположение абзацев и т.п). Если 10% исходного документа сохранились нетронутыми, решение Symantec DLP сможет по цифровому отпечатку определить конфиденциальный документ.

7


Обзоры EDM ИЛИ EXACT DATA MATCHING EDM использует цифровые отпечатки со структурированных (табличных) данных. Работает очень похоже на IDM. Примерами структурированных данных могут быть прайслист, список клиентов, сотрудников (например, в Excel или базе данных) и т.п. Размер цифрового отпечатка в этом случае составляет приблизительно 1% от размера файла. Порог срабатывания (количество строк, при котором генерируется инцидиент) задаётся администратором. Строки для генерирования инцидента необязательно должны идти подряд и, опять же, необязательно, чтобы копируемая строка содержала все поля.

отличать одни документы от других. Работает следующим образом. Сначала необходимо предоставить системе для анализа достаточно большое количество однотипных документов (минимум 50), на которые необходимо обращать внимание, т.к. они содержат секретные данные. Затем для анализа надо предоставить столько же документов, которые могут вызвать ложное срабатывание или, другими словами, похожие на секретные документы схожей структуры, не содержащие конфиденциальных данных. Примерами могут служить электронные досье сотрудников или медицинские карточки пациентов (с персональными данными, не подлежащими огласке) и схожие с ними шаблоны документов, не содержащие личных данных.

ИСПОЛЬЗОВАНИЕ ИСКУССТВЕННОГО ИНТЕЛЛЕКТА

В последней версии Symantec DLP 11.1 появилась новая возможность, позволяющая бороться с описанными недостатками. Она никоим образом не заменяет существующие технологии в Symantec DLP, а, скорее, органично дополняет их. Технология эта называется Vector Machine Learning (VML) и представляет собой самообучающуюся систему, которую можно назвать «искусственным интеллектом». Технология VML может научиться

8

Vector Machine Learning Îáó÷åíèå

Ïîëîæèòåëüíûå ïðèìåðû

Îòðèöàòåëüíûå ïðèìåðû

Îáíàðóæåíèå

Îáðàáîòêà

Описанные выше технологии обнаружения конфиденциальной информации используются уже достаточно давно и доказали свою эффективность. Однако, у каждой из них есть свои особенности. Например, для поиска по ключевым словам (DCM) есть сложность с правильным составлением этого списка. Система работает отлично, находит документы, отслеживает их. Всё это — при грамотно составленном списке ключевых слов. Опыт внедрения Symantec DLP показывает, что бывают ситуации, когда список ключевых слов получается слишком большим или когда слишком много инцидентов генерируется, либо, наоборот, слишком мало. Для того, чтобы составить корректный список ключевых слов, требуется опыт. Как правило, на создание такого списка нужно потратить около недели. В случае с цифровыми отпечатками (IDM и EDM) есть свои неудобства. Например, с каждого нового документа нужно снимать цифровой отпечаток. Это обязательное условие, иначе система не сможет отследить такой документ. Если документ меняется, нужно снимать цифровой отпечаток заново. Конечно, все эти процессы автоматизированы и могут делаться по расписанию, но на этапе начала работы с решением DLP надо снять отпечаток с каждого документа.

Ïîõîæ/íå ïîõîæ Îò 0,0 äî 10,0

Фактически, VML — это система классификации данных. В дальнейшем, если, например, произойдёт отправка документа, в котором нет ключевых слов, идентификаторов данных, с которого не снимался цифровой отпечаток, система Vector Machine Learning сможет определить, какой это тип документа (анкета, история болезни и т.п.). В результате не нужно будет делать немедленные цифровые отпечатки с новых файлов, например, с резюме. В этом случае VML отследит новый документ сама. Система может учиться. Если произойдёт случайное ложное срабатывание, можно указать VML на это и в дальнейшем подобного инцидента не повторится. По опыту первых внедрений технология Vector Machine Learning отлично показала себя в работе с исходными текстами программного кода. Стоит также отметить, что технологии, похожей на Vector Machine Learning, нет у других решений DLP.


Symantec. Data Loss Prevention

ЛИЦЕНЗИРОВАНИЕ SYMANTEC DLP 11.1 _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ Существует пять типов лицензий для Symantec DLP. Обычно используются Perpetual и Subscription. Подробное описание — в таблице ниже. _______________________________________________________________________ |Тип лицензии |Описание | |___________|_________________________________________________________| |Perpetual |Постоянная лицензия с неограниченным сроком действия. | |___________|_________________________________________________________| |Subscription |Лицензия, срок действия которой ограничен сроком подписки (12, 24  | | |или 36 месяцев). Обычно используется заказчиком для распределения  | | |расхо��ов на несколько лет. | |___________|_________________________________________________________| |Cross-Grade |Лицензия в случае миграции продукта предыдущей версии с меньшей  | | |функциональностью на новый продукт с большей функциональностью. | |___________|_________________________________________________________| |Add-On |Продукт, дополняющий или улучшающий существующий продукт с помощью | | |новых возможностей или функциональности. | |___________|_________________________________________________________| |Evaluation |Временная лицензия, срок действия которой органичен во времени.  | | |Существует 2 типа такой лицензии: | | | - Not for Resale | | | - Risk Assessment.  | |___________|_________________________________________________________| Компоненты Symantec DLP лицензируются следующим образом: ______________________________________________________________ |Семейство продуктов Symantec DLP | |____________________________________________________________| |Продукты |Тип лицензии |Единицы |Описание | | | |измерения |ед.измерения | ________|_______________________|____________|________|_________________| |Suite |- Data Insight Enterprise |- Perpetual |- Network |Максимальное | | |- Endpoint Discover |- Subscription | User |количество | | |- Endpoint Prevent | |- Managed |пользователей | | |- Network Discover | | Device |или управляемых | | |- Network Monitor | | |устройств | | |- Network Protect | | |  | | |- Network Prevent for Email | | |  | | |- Network Prevent for Web | | |  | |_______|_______________________|____________|________|_________________| |Endpoint |- Endpoint Discover |- Perpetual |- Managed |Количество защищаемых | | |- Endpoint Prevent |- Subscription | Device |конечных точек | | | | | |(виртуальных | | | | | |или физических) | |_______|_______________________|____________|________|_________________| |Network |- Network Monitor |- Perpetual |- Network |Кол-во пользователей | | |- Network Prevent for Email |- Subscription | User |в сети. | | |- Network Prevent for Web | | |Обычно лицензируется | | | | | |на всю компанию | |_______|_______________________|____________|________|_________________| |Storage |- Data Insight Enterprise |- Perpetual |- Network |Кол-во пользователей | | |- Network Discover |- Subscription | User |в сети, осуществляющих | | |- Network Protect | | |доступ к данным | | | | | |в хранилище. | | | | | |Обычно лицензируется | | | | | |на всю компанию | |_______|_______________________|____________|________|_________________|

9


SYMANTEC DATA LOSS PREVENTION