Марат Давлетханов (marat@maratd.ru) — независимый эксперт по информационной безопасности

На сегодня существует два основных канала утечки конфиденциальных данных из информационной системы предприятия. К первому относятся локальные и сетевые устройства, которые могут использоваться для переноса данных. Это всевозможные съемные накопители, CD- и DVD-диски, сотовые телефоны и коммуникаторы и т.д. Даже обычный принтер можно считать потенциальным источником угрозы, поскольку на нем можно распечатать важные документы и вынести их за пределы офиса на бумаге. Второй канал — подключение к Интернету, точнее, доступные пользователю сервисы глобальной сети. К ним относятся электронная почта и IM-клиенты, социальные сети, форумы, чаты и т.д.

 

Для контроля разных каналов применяются различные подходы и инструменты. Поэтому обычно задачу организации системы защиты разбивают на две части. В этой статье речь пойдет о контроле локальных устройств.

Сейчас на рынке средств предотвращения утечек конфиденциальной информации через локальные устройства имеется немало решений. Однако далеко не все они позволяют организовать полноценную защиту. Для этого продукт должен обладать некоторыми особенностями. Во-первых, необходимо, чтобы он мог контролировать не только накопители USB, но и все остальные устройства, которые могут создавать возможности для утечки информации, включая принтеры. Во-вторых, для полноценной защиты требуется система контентного анализа, с помощью которой можно разрешить или запретить запись файлов на флэш-накопители, в зависимости от их содержимого (сегодня съемные накопители очень часто используются в различных бизнес-процессах, поэтому блокировать их полностью не всегда возможно).

Также при выборе решения для организации контроля съемных накопителей необходимо учитывать еще один момент — предстоящее внедрение контроля сетевых каналов. Предпочтение стоит отдавать продуктам тех разработчиков, у которых есть средства защиты от утечек данных через Интернет. Только в этом случае можно построить единую систему контроля конфиденциальной информации. Иначе мы будем иметь просто два продукта с различным управлением. А это увеличит не только затраты на внедрение (чаще всего два отдельных продукта стоят дороже), но и стоимость владения (поддержка двух разных систем и управление ими заведомо сложнее и подвержено большим рискам).

Мы будем рассматривать процесс построения системы защиты на основе продукта Zecurion DLP. Он обладает всеми перечисленными выше качествами. Во-первых, данная система позволяет контролировать весь спектр возможных каналов утечек конфиденциальной информации. Это дает возможность организовать полноценную защиту, которая позволит предотвратить большинство инцидентов с компрометацией информации. Во-вторых, в ней реализован контентный анализ информации, которая покидает пределы организации как по сетевым каналам, так и путем копирования на локальные накопители. Это придает системе защиты необходимую в современных условиях гибкость.

В-третьих, в этой системе реализовано единое управление защитой от утечек конфиденциальных данных, включая систему контроля сетевых каналов. Более того, используемая консоль позволяет свести воедино администрирование всех продуктов Zecurion, включая криптографические инструменты. Это позволяет упростить внедрение и управление системой защиты, а значит и сократить стоимость ее владения.

Еще одним немаловажным качеством рассматриваемого продукта является его высокая масштабируемость. Использовать Zecurion DLP можно в небольших информационных системах, управляя защитой с помощью удобной консоли управления. Для администрирования в крупных сетях могут применяться групповые политики Active Directory, а также серверы конфигураций и журналов.

Помимо Zecurion DLP на рынке присутствуют и другие системы класса DLP: InfoWatch Traffic Monitor Enterprise, «Дозор-Джет», DeviceLock и т.д. В любом случае при выборе решения важны широкая функциональность, возможности масштабируемости системы, поэтапное или помодульное внедрение и тесная интеграция между собой всех компонентов для контроля различных каналов в рамках единой комплексной системы защиты от утечек. В данной статье мы остановимся на части системы, предназначенной для предотвращения утечек через периферийные устройства с помощью Zlock.

Развертывание

Перед развертыванием системы защиты необходимо разобраться с ее структурой (см. рисунок). Основным элементом Zecurion Zlock является клиентский модуль. Это программа, которая устанавливается на рабочих станциях сотрудников и реализует контроль использования съемных накопителей в соответствии с загруженными политиками. Другим важным элементом системы Zecurion Zlock является консоль управления. Именно с ее помощью осуществляется администрирование системы защиты. Помимо этого в программе предусмотрено несколько дополнительных модулей: сервер журналов (для сбора и отображения подробной информации обо всех событиях) и сервер конфигураций (для удобного управления политиками в крупных сетях).

 

Архитектура Zlock
Рисунок. Архитектура Zlock

Развертывание Zecurion Zlock осуществляется в два этапа. Первый заключается в установке консоли управления. Она должна быть на компьютерах всех администраторов, которые будут управлять системой защиты. Одновременно на эти компьютеры можно установить и клиентский модуль. В противном случае они превратятся в источник потенциальной угрозы (существует вероятность утечки информации через них). Сам процесс установки ничем не примечателен. Все компоненты собраны в одном дистрибутиве, который входит в комплект поставки продукта. Так что остается только запустить его и пройти ряд стандартных шагов — чтение лицензионного соглашения, указание папки и выбор компонентов.

При первом запуске консоли управления пользователю предлагается создать сертификат. Он необходим для безопасной передачи запросов на открытие доступа к устройству и ответов на них по телефону и электронной почте (подробнее на этой возможности мы остановимся ниже). Сертификат можно создать новый или просто указать существующий.

Второй этап заключается в установке клиентских модулей на все рабочие станции корпоративной сети. В принципе это можно сделать вручную. Однако такой вариант по понятным причинам мы даже не рассматриваем. Другой способ — использование консоли управления. С ее помощью можно развернуть клиентские модули на любом количестве удаленных компьютеров, подключенных к локальной сети. Делается это следующим образом.

В левой части консоли управления необходимо найти раздел «Без приложений», установить на него курсор и запустить мастер установки (пункт «Установить или обновить Zlock»). На первом его этапе задается путь к установочным файлам и тип установки. Можно указать и локальную папку, в которой хранится дистрибутив системы. Однако в данном случае будет осуществляться его загрузка на удаленные компьютеры. Поэтому имеет смысл поместить дистрибутив в сетевую папку, доступную всем пользователям. В этом случае установка будет осуществляться непосредственно с данного ресурса.

Что касается типа установки, то здесь могут быть три варианта. Первые два позволяют осуществить установку или обновление клиентской части Zecurion Zlock. Различаются они лишь способом перезагрузки удаленного компьютера — принудительно или после запроса. Третий вариант позволяет обойтись без перезагрузки. Однако с его помощью можно лишь установить клиентский модуль, обновить его не получится.

На втором этапе мастер выводит список обнаруженных компьютеров локальной сети. Администратору остается только отметить те из них, на которых должен быть развернут Zecurion Zlock. На последнем шаге он должен указать имя пользователя, обладающего правами локального администратора на выбранных компьютерах (обычно такие права есть у администратора домена). Стоит отметить, что здесь можно включить функцию запроса другого имени, если привилегий существующего на момент установки окажется недостаточно. После этого остается только запустить процесс установки и дождаться его завершения.

Третий вариант установки заключается в использовании групповых политик Active Directory. Он является оптимальным для крупных корпоративных сетей с доменной структурой. Групповые политики позволяют установить клиентский модуль Zecurion Zlock как на все рабочие станции, так и выборочно на определенные компьютеры (с помощью фильтра безопасности). Подробно описывать этот процесс мы не будем, поскольку он больше относится к теме работы с Active Directory. Отметим только, что в комплект поставки Zecurion Zlock входит установочный пакет, который можно задействовать для установки через групповые политики.

После установки необходимо настроить доступ к Zecurion Zlock. Для этого используется одноименная вкладка окна настройки консоли управления. По умолчанию полный доступ предоставляется группе локальных администраторов компьютера. Однако такой вариант подходит далеко не всегда. Поэтому обычно имеет смысл изменить права доступа таким образом, чтобы настраивать систему защиты могли только ответственные сотрудники. Обратите внимание, что они не обязательно должны относиться к категории администраторов домена.

Кстати, в Zecurion Zlock можно использовать не только встроенную аутентификацию Windows, но и собственные учетные записи. При этом внутренние учетные записи распространяются и на другие продукты Zecurion: Zgate, Zserver, Zbackup и т.д. Такая система аутентификации может применяться для централизации управления всеми перечисленными системами безопасности. Это тем более удобно, что все продукты Zecurion управляются из единой консоли.

Политики доступа к устройствам

В основе управления системой защиты Zecurion Zlock лежат политики. Они представляют собой наборы условий, в зависимости от которых доступ к тем или иным устройствам разрешается полностью, только для чтения или же блокируется. Таким образом, задача администрирования Zecurion Zlock в основном сводится к созданию политик доступа и их распространению на клиентские модули (см. экран 1).

 

Список файловых политик в консоли управления Zlock 4.0
Экран 1. Список файловых политик в консоли управления Zlock 4.0

Политик может быть произвольное количество, при этом все они будут активными. При подключении устройства или же попытке выполнения любой файловой операции с его участием, клиентский модуль Zecurion Zlock проверяет, подходит ли это действие под одну из политик. В случае положительного ответа он выполняет указанное действие (разрешает или запрещает доступ).

Отдельно стоит отметить наличие в Zecurion Zlock политики по умолчанию. С ее помощью можно определить параметры доступа к устройствам, не описанным в других правилах. Политика по умолчанию обладает двумя особенностями. Во-первых, ее нельзя удалить, а во-вторых, она обладает минимальным приоритетом. Наличие политики по умолчанию существенно упрощает управление безопасностью.

В последней версии Zecurion Zlock присутствуют политики двух типов — доступа к устройствам и контроля файлов. Первые предназначены для осуществления контроля подключаемого к компьютеру аппаратного обеспечения по его типу, используемому интерфейсу и другим характеристикам. То есть с их помощью можно разрешить или запретить доступ к накопителю вне зависимости от его содержимого.

Создание и редактирование политики доступа к устройствам осуществляется с помощью окна «Политика доступа», имеющего ряд вкладок. На первой из них задается ее название (рекомендуется отражающее смысл, чтобы не запутаться в будущем) и приоритет. Последний отвечает за порядок следования политик в процессе проверки (см. экран 2).

 

Основные параметры файловой политики Zlock?4.0
Экран 2. Основные параметры файловой политики Zlock?4.0

Также на этой вкладке указываются пользователи, для которых будет действовать данная политика. Здесь возможны следующие варианты: полный доступ для всех пользователей, доступ только на чтение для всех пользователей, запрет доступа для всех пользователей и индивидуальная настройка. Последний пункт позволяет тонко настраивать права разных учетных записей на основе учетных записей домена или локального компьютера.

Вторая вкладка используется для указания устройств, на которые будет действовать данная политика. Здесь могут быть четыре варианта. Первый — типовое устройство. С его помощью можно выбрать все аппаратное обеспечение определенного типа, например все дисководы гибких дисков, жесткие диски, CD- и DVD-приводы и т.д.

Второй вариант позволяет указать USB-устройство по присущим ему характеристикам. Это может быть его тип, название производителя, наименование продукта, его уникальный номер, класс драйвера и т.д. Такой подход позволяет задавать политики, работающие для целого класса аппаратного обеспечения, устройств одной модели, одной конкретной «флэшки» и т.д. Стоит отметить, что данные вводятся не вручную, а выбираются на основе подключенных в данный момент или когда-либо ранее устройств. Это заметно облегчает работу по настройке. Кроме того, здесь может использоваться специальный каталог устройств. Он представляет собой базу описаний аппаратного обеспечения, подключаемого к разным компьютерам локальной сети.

Следующий вариант — выбор физических устройств или символьных ссылок на них. Он позволяет указывать уже не типы аппаратного обеспечения, а конкретное оборудование, подключенное к компьютеру. Последний вариант используется для выбора отдельных принтеров. В них обоих допускается использование каталога устройств.

Третья вкладка — «Расписание». Здесь можно задать периоды активности политики доступа. Расписание может быть однократным, ежедневным, еженедельным и ежемесячным. В большинстве случаев политики должны быть постоянно действующие, так что планирование включается только при необходимости.

Четвертая вкладка носит название «Правила применения». С ее помощью можно указать, в каком случае политика будет активна — при работе компьютера в домене, при работе в домене через VPN-канал или же тогда, когда домен недоступен. Это достаточно интересная возможность Zecurion Zlock, которая может оказаться весьма полезной в некоторых случаях, например при использовании в качестве рабочих станций ноутбуков. Правила применения позволяют создавать разные политики для разных условий.

Ну и последняя вкладка – «Контроль файлов и печати». На ней можно активировать запись в журнал файловых операций и попыток распечатки документов. Здесь возможны следующие варианты: локальное копирование (в системный журнал на этом или другом компьютере или в файл формата TXT, XML), выполнение произвольного файла или сценария, копирование в произвольную базу SQL или на сервер журналов, отправка автоматически сгенерированного по заданному шаблону письма.

На этой же вкладке настраивается архивирование (или теневое копирование). Суть его заключается в размещении копий всех записываемых или распечатываемых файлов в специальное хранилище. Эта возможность очень полезна в том случае, когда полностью запретить съемные накопители нельзя (например, они используются в бизнес-процессах компании для переноса электронных документов и решения других схожих задач). Теневое копирование может осуществляться как на локальный компьютер, так и на сервер журналов или в произвольную сетевую папку. Сохраненные файлы используются в расследовании инцидентов с утечками конфиденциальных данных. Кстати, в последней версии Zecurion Zlock появилась возможность контентного поиска документов в архиве (то есть поиска по содержанию). Это важно, поскольку часто количество файлов в хранилище бывает велико.

Файловые политики

Файловые политики позволяют осуществлять разграничение прав доступа непосредственно в режиме реального времени в зависимости от типа или содержимого файла, с которым пользователь хочет выполнить ту или иную операцию. Их использование позволяет не блокировать устройства полностью, обеспечивая при этом защиту от утечки конфиденциальной информации.

Создание файловой политики осуществляется с помощью окна «Политика контроля файлов», вызываемого из консоли управления и состоящего из трех вкладок. На первой задаются общие параметры — наименование, приоритет, а также перечень пользователей, для которых она будет действовать.

Следующая вкладка — «Файлы». Именно на ней задаются условия выполнения политики. Делается это следующим образом. В первую очередь необходимо выбрать вид контроля файлов — по их типу или содержимому. При активации первого варианта в окне появляется перечень поддерживаемых Zecurion Zlock форматов, разбитых на группы. Это позволяет заблокировать как отдельные типы файлов, так и целые их классы (например, все текстовые документы, все аудиозаписи и т.д.). Стоит отметить, что рассматриваемая система осуществляет детектирование типа по сигнатурам формата. Таким образом, смена расширения файлов не поможет злоумышленникам обмануть систему защиты.

Второй вариант фильтрации — по содержимому файлов. Он может применяться только для текстовых документов. В политиках такого типа содержится произвольное количество условий. При выполнении любого из них она будет срабатывать. Таким образом, настройка политики сводится к созданию ряда условий, описывающих ее (см. экран 3).

 

Настройка поиска текста в?Zlock?4.0
Экран 3. Настройка поиска текста в?Zlock?4.0

В Zecurion Zlock существует три типа условий на основе технологий контентного анализа. Первый из них — проверка текста на наличие заданных слов или выражений. Само условие очень гибко настраивается с помощью дополнительных функций. Так, например, в некоторых случаях необходим поиск полных совпадений. Однако чаще всего требуется фильтрация по всем формам заданных слов. В этом случае можно включить морфологический анализ или стемминг (обработку окончаний). Первый из них работает медленнее, кроме того, существует вероятность пропуска тех или иных форм. Стемминг же выполняется быстрее и позволяет найти все возможные варианты, однако процент ложных срабатываний в этой технологии выше.

Помимо этого в условие можно включить обработку русского текста, записанного латинскими буквами (транслита) и использование подстановочных символов (например, «?» заменяет один любой символ) (см. экран 4). Здесь нужно отметить очень важный момент. Дело в том, что в одном условии может использоваться лишь одна из описанных технологий. Так что если вы хотите, к примеру, задействовать морфологический анализ и поиск транслита для одних и тех же слов, то необходимо в пределах политики задать два фильтра.

 

Работа с шаблонами в Zlock 4.0
Экран 4. Работа с шаблонами в Zlock 4.0

Второй тип условий — поиск по словарю. В принципе, он похож на уже рассмотренный нами, только в фильтре задается не одно или несколько слов, а заполненный заранее словарь (их можно создавать вручную, либо импортировать из внешнего файла). При этом также могут применяться разные технологии контентного анализа – полное совпадение, морфологический анализ, стемминг и транслит. Использование словарей удобно тем, что существенно упрощает управление условиями. Вместо изменения фильтра в каждом из них можно отредактировать сам словарь.

Третий тип условий — поиск по шаблону. Это оптимальный вариант для детектирования в содержании документов любых формализованных данных. По умолчанию в Zecurion Zlock уже есть шаблоны для электронной почты, почтового адреса, ИНН, БИК, банковских счетов, номеров телефонов, паспортных данных и т.д. Помимо этого можно задать собственные фильтры. Использование шаблонов почти со стопроцентной вероятностью гарантирует поиск формализованной информации.

Третья вкладка окна настройки политики контроля файлов — «Действия». Она поделена на три части. Первая позволяет разрешить или запретить чтение файла, вторая — его запись на съемный накопитель, а третья — печать. Помимо этого здесь же включается и отключается запись в журнал и теневое копирование. Причем делается это отдельно для чтения, записи и печати. Такой подход позволяет создавать очень гибкие политики. Например, можно разрешить пользователям печать договоров с теневым копированием на сервер, но запретить их запись на съемные накопители.

Распространение политик

После создания политики доступа должны быть загружены на рабочие станции. Сделать это можно по-разному. Для относительно небольших сетей подойдет использование консоли управления. Делается это в разделе «Компьютеры и приложения». В первую очередь необходимо объединить компьютеры в группы, например по отделам. В будущем это упростит управление политиками на рабочих станциях. Затем следует выбрать нужные рабочие станции и установить с ними соединение (см. экран 5).

 

Настройка действий политики в Zlock 4.0
Экран 5. Настройка действий политики в Zlock 4.0

Распространение настроек на подключенные компьютеры осуществляется с помощью специального окна, которое вызывается из меню «Сервис». В верхней его части необходимо выбрать нужные политики, а в нижней – компьютеры или группы. В процессе распространения система проверяет наличие на рабочих станциях одноименных наборов настроек. Если они есть, то она выдает вопрос, перезаписывать их или нет. Чтобы этого избежать, можно включить фоновый режим распространения политик и сразу указать желаемое действие.

Для упрощения работы администратора в Zecurion Zlock реализована синхронизация политик. Суть ее очень проста. Если какая-то политика была распространена на другие рабочие станции сети, то при любом ее изменении на первоначальном компьютере система будет автоматически предлагать синхронизировать ее с другими компьютерами.

Второй вариант — распространение настроек прав доступа с помощью групповых политик Active Directory. Реализуется он с помощью специального модуля расширения. После его установки в стандартном редакторе групповых политик появляется раздел Zlock. В нем можно задать файлы, содержащие политику по умолчанию и набор созданных администратором политик, предварительно подготовленных в консоли управления и сохраненных в сетевой папке.

Существует еще и третий вариант — сервер конфигураций. Рассматривать его мы уже не будем, отметим только, что он заметно упрощает процедуру управления политиками в крупных сетях, в которых администрированием системой защиты может заниматься несколько пользователей.

Временный доступ к устройствам

При создании запрещающих политик может возникнуть ситуация, когда сотруднику все-таки требуется предоставить доступ к подключенному устройству для выполнения определенной операции. Например, бухгалтеру могут принести на «флэшке» документы в электронном виде. В этом случае, чтобы не менять политики, в Zecurion Zlock предусмотрена система предоставления временного доступа. Реализована она путем обмена запросами (специальными строками) между пользователем и администратором по телефону или электронной почте.

Создание запросов осуществляется с помощью пошагового мастера. Он очень прост, так что в специальном обучении сотрудников компании необходимости нет. Все, что от них требуется — выбрать в списке нужное устройство и желаемый тип доступа. Интерфейс администратора тоже несложен. В нем вводится сам запрос, после чего ответственный сотрудник может просмотреть информацию об устройстве и создать временное разрешение на его использование (на выбор до завершения сессии Windows или до отключения устройства). При этом формируется ответ на запрос, который отправляется пользователю по электронной почте или телефону. Данный механизм надежно защищен сертификатом администратора.

Подводим итоги

Zecurion Zlock — очень мощная система защиты от утечек конфиденциальных данных через подключаемые к компьютерам устройства. Сегодня мы рассмотрели процедуру ее внедрения и базовой настройки, включающей создание и распространение политик доступа. При этом за рамками обсуждения осталось немало интересных возможностей, в том числе серверы конфигурации и записи в журнал.