DeviceLock 7.0 — новое поколение продукта «Смарт Лайн Инк»

В июне этого года началось бета-тестирование DeviceLock 7.0 — новой версии всемирно известного продукта компании «Смарт Лайн Инк», которая обеспечивает контроль всех типов каналов ввода-вывода данных с оконечных компьютеров корпоративных ИС, включая локальные и сетевые коммуникации, а также фильтрацию контента данных. Помимо реализованных в предыдущих версиях механизмов управления доступом к периферийным устройствам и портам, в DeviceLock 7.0 добавлены два новых компонента: ContentLock — модуль мониторинга и фильтрации контента, и NetworkLock — модуль контроля сетевых коммуникаций.

ContentLock реализует эффективные методы контентной фильтрации структурированных данных, сочетая поиск по шаблонам на базе регулярных выражений (RegExp) с численными порогами срабатывания. При задании правил фильтрации шаблоны можно объединять в сложные комбинации с использованием логических функций «И» и «ИЛИ», задавая таким образом комплексные образцы для контентного анализа. В продукт встроены готовые наборы комплексных шаблонов для наиболее распространенных видов защищаемой информации, включая номера кредитных карт, банковских счетов, водительских удостоверений, идентификаторов социального страхования, телефонных номеров, адресов проживания и т.д. Кроме того, в качестве параметров правил фильтрации можно использовать встроенные отраслевые терминологические словари. Политики контентной фильтрации могут задаваться через правила типа «разрешений» (permissions) и «белых листов» (white-lists) с полным набором результирующих действий, включая allow, block, log и shadow.

Встроенная подсистема декодирования и парсинга ContentLock обеспечивает экстракцию текстов из файлов более чем 80 форматов, а также других типов данных, включая сообщения электронной почты, чат­сообщения, веб­формы и интерактивные обмены в социальных сетях, форумах, конференциях, файловые обмены, а также telnet-сессии.

Принципиальное повышение эффективности и масштабируемости функции теневого копирования DeviceLock 7.0 достигается за счет контентной фильтрации копируемых данных во всех каналах ввода­вывода, включая съемные носители и устройства памяти plug-n-play, сетевые коммуникации, синхронизацию данных с локально подключенными смартфонами, а также канал печати документов (для форматов PCL и PostScript). Администраторы DeviceLock 7.0 могут задавать правила фильтрации содержимого данных «тени», сохраняя таким образом в журналах регис­трации только те из них, которые значимы для аудита информационной безопасности, расследований нештатных ситуаций и их криминалистического анализа. В результате на порядки снижаются требования к емкости хранилищ теневых копий и пропускной способности каналов связи при их передаче в центральную базу логов DeviceLock.

К функциям модуля NetworkLock относятся селективный контроль сетевых коммуникаций с возможностью их блокирования, событийного протоколирования, а также теневого копирования. Используя встроенный сетевой анализатор, NetworkLock обеспечивает детектирование сетевых протоколов и приложений независимо от применяемых ими портов, реконструкцию сессий и сообщений, экстракцию и анализ их контекстных параметров, а также передаваемых файлов и иных типов данных, «прозрачные» для пользователей перехват и дешифрование сетевых коммуникаций, защищенных туннелирующими протоколами SSL/TLS. Кроме того, выделенные из трафика файлы и иные объекты данных, например почтовые и чат­сообщения, веб­формы и т.п., передаются модулю ContentLock для их контентной фильтрации.

Совместное применение ContentLock и NetworkLock позволяет контролировать сессии и фильтровать информационный контент наиболее популярных сетевых приложений и протоколов:

сообщений электронной почты и вложенных файлов, передаваемых по протоколу SMTP, включая SSL-защищенные сессии;

веб­доступа и интерактивных обменов HTTP-приложений, включая инспекцию HTTPS-сессий, а также улучшенную поддержку таких webmail-сервисов и социальных сетей, как Gmail, Yahoo! Mail, Windows Live Mail (Hotmail), Facebook, Twitter, LiveJournal, LinkedIn, MySpace, Odnoklassniki, Vkontakte;

служб мгновенных сообщений, включая ICQ/AOL, MSN Messenger, Jabber, IRC, Yahoo! Messenger, Mail.ru Agent;

файлового обмена по протоколам FTP и FTP-SSL;

Telnet-сессий.

Независимо от NetworkLock, модуль ContentLock обеспечивает контентную фильтрацию файлов при их передаче в локальных каналах ввода­вывода компьютеров, включая съемные устройства памяти любых типов.

Существенное улучшение потребительских характеристик DeviceLock 7.0 достигнуто за счет интеграции со встроенным в ОС Windows 7 средством шифрования данных на съемных носителях BitLocker To Go. В итоге пользователи получают возможность без дополнительных затрат применять штатное средство Windows 7 для надежной защиты данных при их хранении на съемных устройствах памяти, доступ к которым контролируется DeviceLock.

Наряду со всем перечисленным в DeviceLock 7.0 реализован целый ряд новых механизмов и способов контроля контекстного уровня, дополнительно повышающих эффективность защиты от утечек данных с endpoint-компьютеров. Во­первых, это поддержка набора сетевых контекстных параметров, которые используются в политиках на базе «белых листов» (whitelisting), включая адреса электронной почты, IP-адреса, их диапазоны и подсети, маски, сетевые порты и их диапазоны с применением операндов «больше/меньше». Во­вторых, при задании правил контроля сетевых коммуникаций можно использовать адреса электронной почты и иные идентификаторы участников сетевых обменов, а также универсальные идентификаторы информационно­вычислительных ресурсов (URI/URL). В-третьих, в качестве параметров политик могут применяться типы сетевых приложений и протоколов: например, можно запретить сотрудникам использование на рабочих местах всех или определенных типов webmail- или социальных сетей.

Несколько новых параметров контроля поддержаны для операций файлового доступа, включая размер файла и дату его последней модификации. Что особенно полезно, в качестве параметра контроля доступа может применяться имя процесса (приложения), инициирующего операцию с файлом, — таким образом DeviceLock 7.0, по сути, реализует базисный уровень контроля приложений через использование их имен. Несмотря на простоту, этот метод весьма эффективен как инструмент защиты от применения несанкционированных программ и случайной активации некоторых типов вредоносного ПО обычными пользователями компьютеров, не имеющими навыков и знаний системных администраторов.

Еще одна полезная новая функция версии 7.0 — поддержка теневого копирования данных, копируемых или передаваемых на защищаемый компьютер, а не только с него, как это было реализовано в предыдущих версиях DeviceLock.

Наконец, для защиты от утечек данных, преобразованных в графическую форму, в DeviceLock 7.0 интегрирована уникальная технология анализа изображений, позволяющая в реальном времени детектировать наличие текста внутри любых графических файлов при операциях их чтения или записи. В случае обнаружения текста к операции применяется заданная политика, которая может включать опции блокирования операции, ее протоколирования а также теневого копирования файла для последующего анализа.

Оптимально координируя применение фильтрации контента и контекстного контроля во всех каналах ввода­вывода данных, DeviceLock 7.0 представляет собой простое и вместе с тем высокоэффективное решение по защите от утечки данных, что в сочетании с возможностью опционального лицензирования модулей ContentLock и NetworkLock позволяет «Смарт Лайн Инк» предложить российским организациям беспрецедентное по соотношению «цена/технические характеристики» решение по защите от утечки данных с компьютеров корпоративных ИС.

 

В начало В начало

КомпьютерПресс 9'2010