Interested Article - DeviceLock

DeviceLock DLP — программный комплекс класса DLP , предназначенный для защиты организаций от утечек информации. Реализует как контекстные методы защиты информации (контроль доступа к портам, интерфейсам, устройствам, сетевым протоколам и сервисам, журналирование доступа и событий передачи и сохранения данных), так и контентные методы фильтрации данных, с применением контентной фильтрации непосредственно на контролируемых рабочих станциях при попытках передачи или сохранения. Является полноценной DLP-системой российской разработки сертифицированной ФСТЭК .

Осуществляет контроль и протоколирование (включая теневое копирование) доступа пользователей к периферийным устройствам , портам ввода-вывода и сетевым протоколам и веб-сервисам . Агентский подход к реализации DLP-системы позволяет контролировать весь спектр потенциально опасных устройств и каналов сетевых коммуникаций непосредственно в точке возникновения угрозы утечки информации.

Контролируемые системой потенциальные каналы утечки данных: USB-порты, дисководов , CD- и DVD-приводов , сменных накопителей, смартфонов на базе iOS, Windows Mobile, Palm и Blackberry, любых внешних и внутренних накопителей и жёстких дисков , локальных и сетевых принтеров , а также портов FireWire , Wi-Fi , Bluetooth , COM , LPT, IrDA ., буфер обмена Windows ( Clipboard ), простые и SSL -защищенные SMTP -сессии электронной почты, HTTP и HTTPS -сессии, MAPI и IMB/Lotus Notes, веб-почту ( webmail ) и социальные сети , службы мгновенных сообщений ( Instant Messaging ) и видеоконференций (Zoom), файловый обмен по протоколам FTP и FTP-SSL, общие сетевые ресурсы ( SMB ), файлообменные сервисы (такие, как DropBox , SkyDrive ), Telnet -сессии, Torrent и Tor.

Весь процесс контроля как устройств и локальных портов, так и каналов сетевых коммуникаций, включая контентную фильтрацию (анализ содержимого с принятием решения о возможности передачи данных), осуществляется установленными на рабочих компьютерах пользователей исполнительными агентами.

Дополнительно к исполнительным агентам и его компонентам контроля устройств, сетевых протоколов и контентной фильтрации в комплексе представлены поисковый сервер (DeviceLock Search Server ) , сервер сканирования и обнаружения данных на рабочих станциях и сетевых хранилищах - DeviceLock Discovery , а также серверный модуль DeviceLock EtherSensor, который позволяет протоколировать сетевые события и передаваемые по сети сообщения и файлы, не задействуя при этом агенты DeviceLock.

Ключевая функциональная особенность DeviceLock DLP — контентная фильтрация в режиме реального времени ("в разрыв", т.е. возможность проверки содержимого данных (информации), передаваемых по сети, печатаемых на принтерах и сохраняемых на флеш-накопителях). Для анализа содержимого данных используются следующие методы: анализ по цифровым отпечаткам, анализ по ключевым словам (с поддержкой морфологии и транслитерации, с наличием большого количества интегрированных в продукт геоспецифических и отраслевых словарей, с возможностью их модернизировать или создавать собственные словари), анализ по шаблонам регулярных выражений (также с наличием большого количества интегрированных в продукт шаблонов и возможностью их модернизировать или создавать собственные), анализ по расширенным свойствам документов, встроенный модуль оптического распознавания символов в графике (OCR). Контентная фильтрация в DeviceLock DLP выполняется непосредственно на защищаемых компьютерах, не зависит от наличия подключения к сети и позволяет избирательно блокировать или разрешать передачу/печать/сохранение данных в зависимости от результата проверки содержимого правилами контентного анализа. Также реализовано избирательное теневое копирование на основании контентного анализа.

Важная архитектурная особенность DeviceLock DLP — возможность развёртывания и управления через групповые политики в домене Active Directory , благодаря чему продукт легко интегрируется в существующую инфраструктуру организаций любого масштаба, причём эта возможность не является единственным способом управления продуктом.

Продукт и документация опубликованы в открытом доступе на сайте разработчика, пробный период составляет 30 дней без ограничения функциональных возможностей.

Архитектура. Управление

Архитектура

DeviceLock Service — агент DeviceLock, устанавливаемый на каждый защищаемый компьютер и работающий на уровне ядра Microsoft Windows . Запускается автоматически, невидим для локального пользователя. Включает в себя компоненты DeviceLock Base, NetworkLock и ContentLock, с опциональным лицензированием компонентов в зависимости от потребностей клиента.

DeviceLock Enterpise Server(DLES) — дополнительный компонент (необязательный), используется для централизованного сбора и хранения данных теневого копирования и аудита (использует в свою очередь MS SQL Server ). Вторая функция DLES — развертывание агентов в сети, а также мониторинг текущего состояния агентов и применяемых политик. Не лицензируется, может быть использован в любом количестве для создания любой инфраструктуры сбора данных аудита.

DeviceLock Search Server (DLSS) — дополнительный компонент (необязательный), используется для индексирования и полнотекстового поиска по содержимому файлов теневого копирования и журналам, хранящимся в базе данных DeviceLock Enterprise Server. Полнотекстовый поиск особенно полезен в случаях, когда необходим поиск по содержимому документов, хранимых в базе данных теневого копирования.

Вышеуказанные компоненты образуют в маркетинговом плане комплекс DeviceLock Endpoint DLP Suite. Модуль DeviceLock при этом является базовым и обязательным, модули ContentLock и NetworkLock лицензируются опционально. Установка всех модулей комплекса осуществляется единовременно (единый дистрибутив). Для включения функциональных возможностей модулей NetworkLock и ContentLock достаточно загрузить соответствующие лицензии и задать политики соответственно для контроля каналов сетевых коммуникаций и контентной фильтрации.

DeviceLock Discovery - самостоятельный продукт, позволяющий сканировать рабочие станции и сетевые хранилища в целях обнаружения данных заданного типа посредством контентного анализа, с выполнением заданных действий по устранению выявленных нарушений. Методы анализа содержимого хранимых данных идентичны представленным в компоненте ContentLock.

Комплекс DeviceLock DLP образуется совокупностью продуктов DeviceLock Endpoint DLP Suite и DeviceLock Discovery. Кроме того, в состав комплекса включен сервер мониторинга сетевого трафика DeviceLock EtherSensor.


Централизованное управление

DeviceLock имеет систему удаленного управления, позволяющую управлять всеми функциями продукта с рабочего места администратора системы.

Для управления системой в продукте есть четыре Консоли управления:

  • DeviceLock Management Console — представляет собой оснастку (snap-in) для Microsoft Management Console ), со стандартным интерфейсом, интуитивно понятным любому администратору Windows . Предназначена для подключения к отдельному компьютеру (агенту DeviceLock) или DeviceLock Enterprise Server'у.
  • DeviceLock Group Policy Manager — оснастка, интегрируемая в редактор политик Windows и позволяющая управлять системой через групповые политики Windows в домене Active Directory.
  • DeviceLock Enterprise Manager — дополнительная консоль с собственным интерфейсом для пакетного управления DeviceLock в сетях, где не используется Active Directory .
  • DeviceLock WebConsole — дополнительная консоль, реализованная в виде web-интерфейса для любого браузера.

Полная интеграция DeviceLock в групповые политики Windows позволяет обеспечить первичное развертывание продукта в автоматическом режиме, автоматически устанавливать агентов на новые компьютеры, подключаемые к локальной сети, и осуществлять настройку агентов также в автоматическом режиме. Установка агентов возможна с предопределенными настройками (используются создаваемые администратором в консоли DeviceLock Management Console MSI-пакеты).

Для сетей, где нет домена Windows, предусмотрена поддержка служб каталогов LDAP , таких как Novell eDirectory , Open LDAP и др.

Защита информации

  • Контроль доступа устройств и портов . Компонент DeviceLock позволяет контролировать доступ пользователей и групп пользователей к любым локальным устройствам ввода-вывода в зависимости от времени и дня недели. Для сменных носителей, дисководов, жестких дисков, CD/DVD-приводов и ленточных накопителей можно устанавливать доступ «только чтение».
  • Контроль сетевых коммуникаций . Компонент NetworkLock обеспечивает контроль каналов сетевых коммуникаций на рабочих компьютерах, включая распознавание сетевых протоколов независимо от используемых портов и способа подключения к Интернет, детектирование коммуникационных приложений и их селективную блокировку, реконструкцию сообщений и сессий с восстановлением файлов, данных и параметров, а также событийное протоколирование и теневое копирование передаваемых данных. Компонент контролирует передачу почтовых сообщений по открытым и SSL-защищенным SMTP-сессиям (с раздельным контролем сообщений и вложений), web-доступ и другие HTTP/HTTPS-приложения, почтовые службы MAPI и IBM/Lotus Notes, web-почту Gmail , Yahoo ! Mail, , Mail.ru , , Web.de и др., мессенджеры Skype , ICQ , MSN Messenger , Jabber , IRC , Yahoo! Messenger , Mail.ru Agent , WhatsApp Web, социальные сети Twitter , Facebook , LiveJournal , LinkedIn , MySpace , Одноклассники , ВКонтакте и др., передачу файлов по протоколам FTP и FTP-SSL, файлообменные сервисы (такие как Dropbox , SkyDrive , Яндекс.Диск, Облако Mail.ru и др.), a также Telnet-сессии и протокол Torrent.
  • Контентный анализ и фильтрация данных . Компонент ContentLock обеспечивает функции контентного мониторинга и фильтрации файлов и данных, передаваемых с/на сменные носители и в каналах сетевых коммуникаций. Контентные правила в ContentLock могут быть запрещающими и разрешающими. Технологии контентной фильтрации также применяются для фильтрации данных теневого копирования, чтобы сохранять только те файлы и данные, которые потенциально значимы для криминалистического анализа и задач аудита информационной безопасности. ContentLock извлекает и отфильтровывает содержимое (контент) данных из файлов и объектов, включая передаваемые в службах мгновенных сообщений, веб-формах, социальных сетях и т. д. Контентная фильтрация основывается на созданных администратором шаблонах регулярных выражений (RegExp) с различными численными и логическими условиями соответствия шаблона критериям и ключевым словам. Среди параметров, которые можно использовать для задания таких шаблонов, присутствуют такие, как пользователи, компьютеры, группы пользователей, порты и интерфейсы, устройства, типы каналов и направление передачи данных, диапазоны дат и времени и др. ContentLock также позволяет задать пассивные правила анализа содержимого, не запрещающие передачу данных, но выявляющие наличие заданного содержимого в передаваемых данных в целях отправки алерта или создания соответствующей записи в журнале. В состав ContentLock включен модуль оптического распознавания символов (OCR), также функционирующий непосредственно на контролируемом компьютере.
  • Сканирование и обнаружение . Компонент DeviceLock Discovery позволяет автоматически сканировать рабочие станции и сетевые хранилища удаленно или с помощью небольшого собственного агента в целях обнаружения данных заданного типа посредством контентного анализа. При использовании агентского режима сканирования возможно выполнение заданных администратором действий по устранению выявленных нарушений (уведомление пользователя, отправка алерта, удаление файла, изменение прав доступа к файлу или его шифрование, журналирование). По итогам сканирования заданных целей генерируется подробный отчет о результатах сканирования.
  • Тревожные оповещения (алертинг) . DeviceLock обеспечивает тревожные оповещения о инцидентах безопасности в реальном режиме времени (алертинг). Оповещения (алерты) могут отправляться по протоколам SMTP и/или SNMP. Предусмотрено два типа оповещений: административные и специфичные для устройств и протоколов. Алертинг существует параллельно правилам аудита в целях обеспечения требований инцидент-менеджмента и отменяет аудит, являющийся основой для сбора доказательной базы инцидентов ИБ.
  • Белый список USB-устройств . Модуль DeviceLock позволяет задать для определенных пользователей/групп свой список устройств, доступ к которым всегда будет разрешен, даже если запрещено использование USB-порта. Устройства можно идентифицировать по модели и уникальному серийному номеру.
  • Белый список сетевых протоколов . Модуль NetworkLock позволяет задавать политики безопасности, основанные на принципе «белого» списка сетевых протоколов, который дополнительно может детализироваться по IP-адресам и их диапазонам, маскам подсетей, сетевым портам и их диапазонам. Дополнительно можно использовать такие параметры, как адреса электронной почты отправителя/получателя и имена аккаунтов в мессенджерах (для соответствующих сервисов и протоколов).
  • Временный Белый список . DeviceLock позволяет предоставлять временный доступ к USB-устройствам при отсутствии сетевого подключения к агенту (в случаях, когда прямое управление агентом с консоли администратора невозможно — например, когда пользователь с ноутбуком в командировке). Администратор сообщает такому пользователю специальный короткий код, который временно разблокирует доступ только к требуемому устройству на определенное администратором время.
  • Белый список носителей . DeviceLock позволяет разрешить использование только авторизованных администратором CD/DVD дисков, запретив при этом использование самого привода. Список задается по пользователям и группам пользователей. Функция может быть полезна, например, для обеспечения «лицензионной чистоты» пользовательских компьютеров.
  • Журналирование . DeviceLock обеспечивает детальное журналирование всех действий пользователей с устройствами и сетевыми протоколами по факту обращения к ним, передачи файлов и прочих данных (копирование, чтение, удаление, чат и т. п.). Дополнительно можно включить журналирование системных событий в DeviceLock и действий администраторов.
  • Теневое копирование . DeviceLock позволяет сохранять точные копии файлов и данных, копируемых пользователями с их компьютеров на внешние устройства и носители, распечатываемых документов, данных, передаваемых через COM- и LPT-порты, и в каналах сетевых коммуникаций.
  • Централизованное хранение журналов аудита и теневого копирования . Данные аудита и теневые копии скопированных пользователями файлов можно хранить как локально на пользовательских компьютерах, так и в базе данных DeviceLock Enterprise Server, что позволяет обеспечить централизованную обработку данных аудита.
  • Контроль буфера обмена ( Clipboard ) . DeviceLock перехватывает и контролирует использование системного буфера обмена Windows для предотвращения передачи данных между приложениями, блокировки снимков экрана ( PrintScreen ). Данная функция особенно полезна при контроле терминальных сессий, позволяя предотвратить или запротоколировать передачу данных между терминальным сервером и удаленным хостом.
  • Блокировка кейлогеров . DeviceLock обнаруживает большинство аппаратных USB-кейлогеров и блокирует подключенные к ним клавиатуры. Для PS/2 клавиатур применяется технология скремблирования, искажающая вводимые с такой клавиатуры данные (на кейлоггер записывается «мусор»).
  • Поддержка offline-политик . DeviceLock может автоматически переключаться между двумя режимами контроля — online и offline, применяя один набор политик доступа и аудита для ситуации, когда рабочая станция подключена к корпоративной сети (online), и другой — когда отключена от сети (offline).
  • Поддержка шифрования . DeviceLock не шифрует устройства самостоятельно, но позволяет обеспечить гарантированное шифрование дисков посредством интеграции с криптопродуктами третьих сторон (Windows 7 BitLocker To Go, PGP Whole Disc Encryption, TrueCrypt , , ). Есть также поддержка аппаратного шифрования флешек Рутокен Диск, Lexar и других.
  • Детектирование и фильтрация типов файлов . DeviceLock позволяет расширить контроль устройств и портов до уровня типов файлов — агент определяет реальный тип файла. Администратор может задавать уточненные до типов файлов политики контроля доступа, аудита и теневого копирования. Используется бинарно-сигнатурный метод детектирования типов файлов, поддерживается более 4000 типов файлов.
  • Расширенный контроль КПК и смартфонов . DeviceLock позволяет задавать расширенные политики контроля доступа и аудита для мобильных устройств под управлением Windows Mobile , Palm OS , устройств iPhone / iPod . Администратор может задать разрешения на различные типы объектов (файлы, контакты, почта и т. д.), передаваемых с/на КПК. Аналогично задаются уточненные политики для правил аудита и теневого копирования. Расширенный контроль протоколов синхронизации с мобильными устройствами не зависит от типа подключения мобильного устройства (USB, COM, IrDA, BlueTooth, WiFi).
  • Отчеты . DeviceLock позволяет формировать графические и сводные отчеты на основе данных, хранимых в базе данных DeviceLock Enterprise Server, а также отчеты по текущим настройкам и по используемым на рабочих станциях устройствам. Представлен также динамический граф связей для анализа коммуникаций.

Технология Virtual DLP

DeviceLock поддерживает решения для виртуализации рабочих сред и приложений от трех основных разработчиков – это Microsoft (RDS/RDP), Citrix (XenApp, XenDesktop) и VMware (VMware View).

Благодаря прозрачному встраиванию агентов DeviceLock в виртуальные среды (VDI или опубликованные приложения) DLP-политики обеспечивают контроль потока данных между виртуальным рабочим столом или опубликованным приложением и перенаправленными на удаленные рабочие либо персональные компьютеры периферийными устройствами, включая съемные накопители, принтеры, USB-порты и буфер обмена данными. Сетевые коммуникации пользователей внутри терминальной сессии также контролируются DLP-механизмами DeviceLock. Кроме того, ведется централизованное журналирование действий пользователя и теневое копирование переданных им файлов и данных, создаются алерты.

Технологии для поддержки виртуальных сред в DeviceLock (VirtualDLP) особенно актуальны для решения проблем безопасности в модели BYOD . DLP-защита для виртуальных сред и BYOD-модели, основанной на виртуализации рабочих сред и приложений, является универсальной и работает на всех видах личных устройств. В их числе могут быть любые мобильные платформы - такие как iOS, Android и WindowsRT, тонкие терминальные клиенты под управлением Windows CE, Windows XP Embedded или Linux, а также любые компьютеры под управлением OS X, Linux или Windows.

Дополнительные возможности

  • Централизованный мониторинг . DeviceLock Enterprise Server позволяет контролировать текущее состояние агентов на рабочих станциях и текущие политики безопасности (в сравнении с сохраненной эталонной политикой), а также ведет журнал мониторинга. Возможна автоматическая замена текущих политик на эталонные. При проверке состояния агента на удаленном компьютере DeviceLock Enterprise Server может также выполнить установку или обновление агента.
  • Защита от локального администратора . DeviceLock обеспечивает контроль целостности своего сервиса и защиту от несанкционированного подключения к сервису, его остановки, удаления или изменения применяемых политик. Функция реализована путём блокировки доступа для всех пользователей, кроме включенных во внутреннюю группу «Администраторы DeviceLock».
  • Полнотекстовый поиск . Дополнительный компонент DeviceLock Search Server (поисковый сервер) обеспечивает полнотекстовый поиск по содержимому файлов теневого копирования и журналам, хранящимся на DeviceLock Enterprise Server. Поисковый сервер DeviceLock может автоматически распознавать, индексировать, находить и отображать документы множества форматов (Adobe Acrobat (PDF), Ami Pro, Архивы (GZIP, RAR, ZIP), Lotus 1-2-3, Microsoft Access, Microsoft Excel, Microsoft PowerPoint, Microsoft Word, Microsoft Works, OpenOffice, Quattro Pro, WordPerfect, WordStar и многие другие). В состав DeviceLock Search Server включен модуль оптического распознавания символов (OCR) для извлечения и индексирования текстовых данных в графических файлах и изображениях, встроенных в другие документы.
  • Контроль доступа к устройствам и интерфейсам компьютеров под управлением OS X . Предлагается отдельная версия компонента DeviceLock for Mac.

Разработчик

Правообладатель и разработчик DeviceLock DLP — российская компания АО «Смарт Лайн Инк.» (SmartLine Inc.). Компания основана в 1996 году и изначально была ориентирована на разработку программного обеспечения для администрирования компьютерных сетей, а позднее сфокусировалась на задачах информационной безопасности, а именно предотвращения утечек данных. Компания декларирует более 70 тысяч клиентов в 90 странах мира — государственные, военные, медицинские , образовательные, крупнейшие финансовые и коммерческие учреждения, а также компании малого и среднего бизнеса. Программное обеспечение DeviceLock установлено на более чем 7 миллионах компьютерах (по данным на 2017 год).

Начиная с 2008 года Смарт Лайн выпускает только продукт DeviceLock DLP. Разработка и поддержка выпускавшихся ранее продуктов Active Network Monitor, Active Ports Monitor и Remote Task Manager прекращена. Кроме DeviceLock DLP, компания предоставляет бесплатную утилиту "DeviceLock Plug-and-Play Auditor" для анализа подключенных USB-устройств на рабочих станциях сети .

Штаб-квартира и офис разработки и технической поддержки компании находятся в Москве, Россия. Компания также имеет офисы продаж и поддержки в США, Великобритании, Германии и Италии. Финансовые показатели деятельности не раскрываются. Штат компании — около 70 человек, в том числе около 40 разработчиков.

См. также

Примечания

  1. . CNews.ru . из оригинала 4 августа 2018 . Дата обращения: 18 ноября 2017 .
  2. . PCMag Russian Edition . 2017-07-06. из оригинала 1 декабря 2017 . Дата обращения: 18 ноября 2017 .
  3. SmartLine Inc. . www.devicelock.com. Дата обращения: 11 июля 2018. 11 июля 2018 года.
  4. SmartLine Inc. . www.devicelock.com. Дата обращения: 11 июля 2018. 11 июля 2018 года.
  5. SmartLine Inc. . www.devicelock.com. Дата обращения: 11 июля 2018. 11 июля 2018 года.
  6. SmartLine Inc. . www.devicelock.com. Дата обращения: 11 июля 2018. 11 июля 2018 года.
  7. SmartLine Inc. . www.devicelock.com. Дата обращения: 11 июля 2018. 11 июля 2018 года.
  8. . из оригинала 6 июля 2018 . Дата обращения: 18 ноября 2017 .
  9. . PC Week/RE («Компьютерная неделя») . из оригинала 6 июля 2018 . Дата обращения: 18 ноября 2017 .
  10. . Windows IT Pro/RE 2005 № 08 . OSP. 2005-12-13. из оригинала 4 августа 2018 . Дата обращения: 18 ноября 2017 .

Ссылки

  • , Anti-Malware, 2018
  • , Банковское обозрение, 2018
  • , ItSec, 2018
  • , Национальный Банковский Журнал, 2018
  • , ItWeek, 2018
  • , CNews, 2018
  • , "Скажи “нет” своим “пиратам”", ItWeek, 2017
  • , ItSec, 2017
  • , CNews, 31.10.2017
  • , Marketwired - рейтинг The Radicati Group "Content-Aware Data Loss Prevention Market, 2013-2017
  • , Anto-Malware, 2016
  • , 2015
  • , AntiMalware, 2015
  • в журнале Информационная безопасность, 2015
  • , 2011
  • , IXBT 2007
  • , КомпьютерПресс 11'2006
Источник —

Same as DeviceLock