Symantec DLP 11: существенные улучшения защиты от утечек

Корпорация Symantec объявила о выпуске одиннадцатой версии Symantec DLP, представляющей собой функционирующую под единой консолью управления линейку продуктов, каждый из которых в свою очередь состоит из нескольких компонентов, предназначенных в целом для защиты от утечек данных на рабочих станциях, в корпоративных сетях и в системах хранения.

Интеллектуальный анализ данных. Как сообщил технический консультант по продуктам информационной безопасности корпорации Symantec в России и СНГ Олег Головенко, самым важным нововведением (которое несколько отстает от остальных по срокам вывода на рынок и появится в DLP-системе в мае вместе с версией 11.1) будет изменение компонента, отвечающего за анализ данных. К двум имеющимся технологиям анализа контента — работающим по описанию (с помощью ключевых слов, регулярных выражений, идентификаторов, шаблонов и т. п.) и по цифровым отпечаткам— добавляется анализ содержания, основанный на искусственном интеллекте. С его помощью реализован самообучающийся функционал (на основе технологии Vector Machine Learning, VML), позволяющий находить соответствие между теми документами, которые были введены в систему при обучении, и вновь поступающими. В процессе обучения нужно подать на вход VLM примерно сотню документов, отобранных вручную и полностью тождественных (в соответствии с экспертной оценкой) заданной категории данных, и сотню похожих, но не относящихся к ней, также вручную категоризованных экспертами. После обучения функционал готов к работе. Кроме непосредственно обнаружения утечек его можно использовать и в других целях, например для автоматической сортировки данных.

До официального объявления о выпуске технология VLM тестировалась примерно на протяжении года у клиентов, эксплуатирующих Symantec DLP. По словам Олега Головенко, она показала хорошие результаты на таких типах данных, как исходные тексты программ, резюме, страховые полисы, договоры, лицензии, отчеты, типизированная переписка по электронной почте и т. п. Он также отметил, что у ближайших конкурентов Symantec на международном рынке DLP-систем, таких как McAfee, RSA (EMC) и Websense, подобной технологии контентного анализа пока нет.

Работа с приложениями. К настоящему времени Symantec DLP умеет проверять содержимое примерно у трёхсот типов файлов. В тех случаях, когда прямой поддержки требуемого типа файлов у системы ещё нет, или он зашифрован, или защищен паролем, Symantec предлагает отныне использовать технологию Content Extraction API, которая позволяет решению на базе Symantec DLP открывать и анализировать данные, ранее ему недоступные. Эта технология дает возможность подключать для обработки подобных файлов сторонние утилиты, извлекающие из файлов, форматы которых Symantec DLP не поддерживает, содержащуюся в них текстовую информацию и передавать ее на вход системы предотвращения утечек. Необходимые утилиты вызываются автоматически при обработках инцидентов системой DLP.

Контроль рабочих станций существенно улучшен в новой версии Symantec DLP. Реализован полный контроль записи и сохранения в сетевые папки и обратно на диски рабочих станций. Функция Application File Access Control устраняет проблемы работы с проприетарными приложениями (использующими собственные системы шифрования, форматы, протоколы передачи данных и т. д.) за счет регламентации доступа этих приложений к тем данных, категории которых оговорены в соответствующих политиках безопасности. Это поможет контролировать использование персоналом таких программ, как Skype, ICQ, Google Talk, iTunes, Cisco Webex, Bluetooth и т. п.

Новая функция Trusted Devices позволяет создавать более гибкие, нежели ранее, политики использования мобильных носителей информации. Например, заказчик может сформировать список устройств (USB, SD-карты, внешние диски), на которые будет разрешено копирование конфиденциальных данных пользователям с определенными ролями доступа. Автоматический контроль с помощью функционала Endpoint Discover обеспечивает своевременное обнаружение содержащих конфиденциальную информацию файлов, располагающихся в ненадлежащих местах хранения, и перемещать их в защищенные хранилища, оставляя на их месте метки для пользователей.

Управление. Согласно предоставленной корпорацией Symantec информации, в 11-й версии существенно расширены и автоматизированы функции, позволяющие администратору системы DLP напрямую с консоли Enforce следить за состоянием агентов рабочих станций и управлять ими. Появилась возможность перемещать агенты из одной подсети в другую, отключать, перезапускать их, переключать с одного DLP-сервера управления на другой. В связи с этим отпала необходимость привлекать ИТ-администраторов для решения проблем, связанных с состоянием агентов рабочих станций.

Если ранее конфигурация агента определялась только тем, к какому серверу управления он подключен (от этого зависело, какие каналы утечек и с помощью каких фильтров он контролирует), то в версии 11 администратор DLP-системы может создавать неограниченное число типов таких конфигураций и применять их в соответствии с заданными ИБ-политиками. Это позволяет оптимизировать нагрузку на DLP-систему, избавив ее от выполнения ненужной работы (например, от отслеживания CD-данных на тех рабочих станциях, где нет CD-приводов).

Сеть. Чтобы увеличить скорость сканирования сетевого трафика, в предыдущих версиях требовалось использовать ОС Linux либо применять специализированные сетевые карты (которые дороже обычных), то, как сообщил Олег Головенко, начиная с версии 11 быстрое сканирование (330 Мбит/с) трафика стало доступным и для пользователей ОС Windows.

Он пояснил также, что компоненты Symantec DLP 11, контролирующие утечки через электронную почту и веб-трафик, отныне поддерживают работу в облачных архитектурах. Это, например, позволит компаниям, использующим электронную почту как сервис внешнего провайдера и не имеющим своей почтовой инфраструктуры, установив Symantec DLP 11, перенести компоненты защиты почты и интернет-трафика на сторону провайдера, а управление защитой от утечек оставить у себя.

Хранение данных. Контроль утечек из систем хранения обеспечивают два интегрированных между собой компонента — Symantec DLP Storage и Data Insight. Сообщается, что в 11-й версии в них упрощен процесс сканирования распределенных систем Microsoft Exchange и SharePoint. Отныне данные этих систем сканируются без использования агентов и с гибкой настройкой под всевозможные варианты политик сканирования.

Как полагают в Symantec, к контроль и удаление конфиденциальных данных из запрещенных для них мест хранения существенно упростятся, эти процедуры будут выполнять сами владельцы этих данных. Компонент Data Insight позволяет контролировать действия пользователей с файлами, хранить историю этих действий и в результате корректно определить владельца каждого файла. В Symantec считают, что владельцем файла логично признать не того, кто прописан в его метаданных, а того, кто реально создал этот файл и чаще других с ним работает. Предлагается регулярно (например, еженедельно) всем владельцам файлов, содержащих конфиденциальную информацию и хранящихся в несоответствующих местах, рассылать уведомления о необходимости перенести их в защищенное место хранения. Если делать это централизованно, администратору DLP нужно выяснить корректность текущего места хранения, найти новое, надлежащее место и правильно распорядиться предоставлением доступа к файлу для его перемещения туда. По мнению специалистов Symantec, привлечение к этой работе пользователей значительно ускорит процесс перемещения конфиденциальной информации в защищенные места хранения.

В Data Insight версии 11 реализован механизм расчета рисков, учитывающий категории данных и уровень защищенности мест их хранения. В результате с каждой папкой ассоциируется некое числовое значение риска утечки, которое помещается в отчеты. Это позволяет приоритизировать действия по исправлении ситуации.

Механизм слежения за действиями пользователей с файлами, реализованный в Data Insight, умеет генерировать уведомления (либо администратору DLP-системы, либо руководителям, либо самим пользователям) об обращениях к данным, превышающих некоторые установленные лимиты (например, если к строго конфиденциальным данным обращаются чаще, чем предусмотрено, или кто-то из пользователей попытался обратиться к данным, с которыми ранее не работал). На базе этого механизма можно сформулировать критерии реагирования в целях предотвращения утечек.

Классификация данных. Технологии анализа контента, реализованные в Symantec DLP, начиная с 11-й версии доступны и для других продуктов Symantec. Это, как заявляют в компании, знаменует переход к единой платформе классификации информации для всех её продуктов. Олег Головенко считает, что новую возможность прежде всего полезно использовать в работе механизма классификации данных продукта Enterprise Vault, что позволит корректно (в том числе с точки зрения защиты от утечек) управлять хранением и архивированием корпоративной почты

Учет требований российского рынка. Как проинформировал директор отдела технических решений корпорации Symantec в России и СНГ Николай Починок, русский язык в Symantec DLP официально поддерживается больше года. По его словам, в апреле 2011-го выйдет Russian Language Pack for Symantec DLP 11, который обеспечит поддержку русскоязычного интерфейса в новой версии системы. Несколько позже будет готова на русском языке и документация к Symantec DLP 11. Он отметил также, что получен сертификат ФСТЭК, удостоверяющий, что Symantec DLP является программным средством предотвращения несанкционированного копирования информации, которая не содержит сведения, составляющие государственную тайну.