Решения, предназначенные для предотвращения утечек данных с корпоративных компьютеров, а также виртуализованных рабочих сред и приложений Windows, относящиеся к высшему классу решений Endpoint DLP, сегодня должны иметь встроенный резидентный модуль, реализующий технологию глубокого анализа и фильтрации сетевых пакетов, deep packet inspection (DPI), непосредственно на защищаемом компьютере. Для большинства программ мгновенного обмена сообщениями, или мессенджеров, такую проверку способен выполнять агент комплекса DeviceLock DLP Suite, в котором реализованы моментальный анализ и фильтрация содержимого сообщений в процессе обмена, то есть в чате. Примером может служить практически полный контроль мессенджера Skype во множестве его вариаций, в том числе Skype for Business, когда агент DeviceLock контролирует права пользователей Skype делать и принимать аудио- и видеозвонки, используя в качестве параметров их учетные записи в системе, членство в группах и идентификаторы Skype. Кроме того, он анализирует содержимое переписки и передаваемых файлов в реальном времени с применением соответствующих политик DLP, как показано на экране 1.
![]() |
Экран 1. Назначение политик в консоли DeviceLock DLP |
Если до недавнего времени специалисты службы информационной безопасности были озабочены решением задачи контроля коммуникаций в Skype, то сегодня наряду с этим каналом (все еще актуальным и создающим объективную угрозу утечек данных) им приходится учитывать риски потери информации через другие популярные мессенджеры — WhatsApp, Viber, Telegram. В случае с WhatsApp, отличительной особенностью которого является качественно реализованное проприетарное шифрование передаваемых данных, DeviceLock DLP позволяет задавать индивидуальные (или по группам пользователей) политики доступа к WhatsApp Web, а также протоколировать факты его использования. Для мессенджера Viber реализована возможность селективного контроля и протоколирования для чатов и передаваемых файлов, включая теневое копирование, а также протоколирования соединений и голосовых коммуникаций через Viber. Селективность контроля в данном случае означает возможность не только ограничения доступа к мессенджеру отдельным пользователям и группам, но и запрета передачи файлов при разрешении на использование чата.
Особенности контроля Telegram в DeviceLock DLP
Возможности контроля мессенджера Telegram в DeviceLock намного шире, чем для WhatsApp и Viber. Прежде всего, детектируется и контролируется использование как веб-версии Telegram, так и приложения Telegram Desktop. Для веб-версии DeviceLock DLP предоставляет уникальную среди DLP-решений возможность задавать политики контроля доступа и протоколирование соединений. Для версии Telegram Desktop возможно, помимо селективного контроля доступа, задать детальное событийное протоколирование и создание теневых копий для всех чатов, вне зависимости от того, канал это, мультичат или чат между двумя собеседниками. Другой уникальной возможностью является асинхронный контентный анализ сообщений и файлов, отправляемых через Telegram Desktop, позволяющий обеспечить оперативную реакцию на специфическое содержимое отправляемых данных (экран 2). Наконец, DeviceLock DLP способен извлекать из переписки в Telegram и сохранять в журнале реальные имена отправителей и получателей для целей протоколирования и вывода в динамическом графе связей.
![]() |
Экран 2. Правила аудита в DeviceLock DLP |
Использование цифровых отпечатков в контентной фильтрации
Метод использования цифровых отпечатков в системах DLP, в основе которого лежит сопоставление документов или файлов с так называемыми цифровыми отпечатками — наборами буквенно-цифровых строк (хешей), является одним из наиболее точных методов идентификации и защиты информации. Особенно он эффективен для идентификации незначительно измененных типовых документов. Так, этот метод позволяет идентифицировать заполненные контракты, отличающиеся только данными одной из сторон, или же может помочь в идентификации финансовых данных, хранящихся в документах Microsoft Office, бизнес-информации, содержащейся в файлах PDF, а также исходного кода, хранящегося в текстовых файлах. Кроме того, цифровые отпечатки можно использовать для идентификации и защиты нетекстовых файлов (таких, как изображения, чертежи и мультимедийные файлы), а также для идентификации данных, которые кто-то пытается скопировать из одного файла в другой. С помощью цифровых отпечатков можно обнаруживать как полностью скопированные документы, так и отдельные фрагменты, даже если в документ были внесены изменения путем добавления «мусорного» текста (экран 3).
![]() |
Экран 3. Условия срабатывания цифровых отпечатков |
DeviceLock DLP снимает цифровые отпечатки с образцов конфиденциальных документов, сохраняя их в базе данных отпечатков сервера DeviceLock Enterprise Server, а затем сравнивает с цифровыми отпечатками проверяемых документов. Если процент «соответствия отпечатков» превышает требуемый порог в соответствии с настройкой, проверяемые документы считаются конфиденциальными и к ним применяются заданные в контентно-зависимом правиле действия. Правила, построенные на базе контентных групп Document Fingerprints, могут применяться как к устройствам, так и к сетевым протоколам, что позволяет задействовать цифровые отпечатки для управления разрешениями на доступ, избирательного теневого копирования и задач обнаружения содержимого в асинхронном режиме.
При создании правил используется классификация хранимых цифровых отпечатков по уровням важности или секретности (например, Restricted, Confidential, Top Secret). DeviceLock предоставляет ряд встроенных классификаций и позволяет добавлять дополнительные пользовательские классификации.
Обработка образцов информации и снятие отпечатков осуществляется задачами на сервере DeviceLock Enterprise Server. Каждая такая задача относится к определенной классификации и присваивает ее тем отпечаткам, которые создает. При каждом запуске задача может проверять файлы в определенной папке. Для каждого файла она сначала создает его отпечатки и сравнивает их с отпечатками из базы данных. Проверка же передаваемой информации выполняется агентом DeviceLock локально, при этом агент запрашивает сервер для оценки отпечатков проверяемой информации (экран 4).
![]() |
Экран 4. Задача формирования цифровых отпечатков на сервере DeviceLock Enterprise Server |
Функция использования цифровых отпечатков для контентного анализа информации, передаваемой по сети, печатаемых или сохраняемых на внешних накопителях, будет реализована в DeviceLock DLP версии 8.3 (первая бета-версия доступна для ознакомления на сайте www.devicelock.com). Программный комплекс DeviceLock DLP Suite предоставляет для эффективного решения задачи защиты от утечек данных полнофункциональный набор контекстных и контентно-зависимых механизмов эффективного контроля используемых (data-in-use), передаваемых (data-in-motion) и хранимых (data-at-rest) данных. Продукт работает в режиме реального времени, с обеспечением защиты непосредственно на пользовательских компьютерах. Исполнительный агент DeviceLock, функционирующий на уровне ядра операционной системы, поддерживает широкий набор контекстных методов предотвращения утечек данных с защищаемых пользовательских компьютеров через их локальные интерфейсы и порты, периферийные, виртуальные и перенаправленные в терминальные сессии устройства ввода-вывода, системный буфер обмена, снимки экрана, а также каналы сетевых коммуникаций. Преимущество агента DeviceLock перед резидентными DLP-агентами в других DLP-решениях, помимо возможности контентного анализа и фильтрации в реальном времени в целях предотвращения утечек данных, состоит в его защищенности от попыток изменения исполняемых политик, отключения, удаления и иных деструктивных действий со стороны не только обычных пользователей, но и локальных системных администраторов.