Модуль DLP

В начало  Назад  Далее

DLP – Data Leak Prevention

 

Для защиты вашего предприятия от несанкционированных утечек информации, в Ideco ICS встроен модуль DLP – Data Leak Prevention. Данный модуль разработанный специалистами компании позволяет защитить предприятие от попыток передачи информации третьим лицам из локальной сети по средствам Web и почтового трафика.

 

Разработанный механизм фильтрации учитывает следующие потенциальные возможности утечки информации:

•        передача данных с категорией «для служебного пользования» (далее ДСП) через Web (загрузка на удаленные сервера)

•        передача данных с категорией ДСП через почтовые сообщения

•        обнаружение модификаций исходного ДСП документа для маскировки утечки информации (создание информационного шума внутри документа) при помощи технологии «SmartID». Поддержка форматов файлов:

otxt
ohtml
odoc
odocx
oxls
oxlsx
ozip
orar
otar
ogz
obzip2
opdf
oeml (message/rfc822)

•        обнаружение абсолютного сходства если таковое имеется, между перехваченным файлом и файлом категории ДСП, при помощи md5 хеша. Поддержка любых форматов файлов.

•        нахождение ДСП документов в zip/rar/tar/gz архивах

Работа DLP модуля направлена на поиск информации в исходящем потоке трафика по определенным маркерам хранящимся в базе данных сервера Ideco ICS. Для создания хеша документа категории ДСП необходимо загрузить их на сервер, при помощи специального интерфейса Администратора.


Внимание! Загрузка документов принадлежащих к категории ДСП необходима только для формирования хэша, после чего документ удаляется с сервера автоматически. Восстановить содержимое документа по хэшу невозможно.


При помощи разработанной технологии «SmartID», удалось добиться возможности идентификации измененных документов. Например, существует ДСП документ A содержащий определенную информацию. Перед отправкой этого документа, злоумышленник модифицирует содержимое документа A с целью маскировки при передаче. Таким образом, документ A становится другим документом, назовем его документ B. Система анализа «SmartID» сумеет обнаружить данные документа A внутри документа B, не смотря на то что исходный документ A был изменен. Разумеется, существуют определенные ограничения, при которых исходный документ не сможет быть обнаружен, однако в этом случае целостность информации будет нарушена в значительной степени.

«SmartID» не сможет распознать файл зашифрованный какими либо алгоритмом шифрования.

 

Вкладка «Общие»

dlp_02

«Включить модуль DLP-анализа веб-трафика» - включение возможностей DLP модуля для сканирования web-трафика. Для работы этой опции необходимы следующие условия:

•        включенный прокси-сервер

•        отключение всех антивирусов для веб-трафика

Отключение антивирусов для проверки веб-трафика – вынужденная мера, и в следующих версиях это требование будет убрано, в связи с совершенствованием системы Data Leak Prevention.

Если какое либо из этих условий не выполнено, то веб-интерфейс Администратора предупредит о том необходимости внесения изменений в конфигурацию сервера.

«Включить модуль DLP-анализа почтового трафика» - включение возможностей DLP модуля для сканирования почтового трафика. Для работы этой опции, дополнительные условия не требуются.

«Уровень чувствительности (0-100)» - степень чувствительности к модификации исходного файла. Значение по умолчанию 90. Рекомендуется большее значение для минимизации ложных срабатываний. При большом значении этой опции, с большей вероятностью будет обнаружен тот файл, который подвержен наименьшим изменениям. Если значение этой опции будет низким (1-50) то даже при большой модификации исходного файла (степень похожести), DLP сработает и заблокирует передачу.

«Почта для уведомлений о срабатывании» - почтовый адрес инженера службы безопасности компании, на который будет приходить уведомления о нахождении в исходящем трафике пользователей локальной сети ДСП документов.

 

Вкладка «Политики»

dlp_03

«Проверять локальную почту» - проверять почту от пользователей Ideco ICS предназначенную для пользователей Ideco ICS (пользователи одного домена).

«Хранить перехваченные файлы» - опция позволяет задать количество дней которые перехваченные файлы и отчеты будут храниться на сервере. Ввиду того, что перехваченные файлы являются ДСП документами, то постоянное хранение их на Интернет-шлюзе в незашифрованном виде может отрицательно сказаться на безопасности компании.

«Не проверять файлы более чем» - задает размер файла в килобайтах, после которого файл проверяться не будет. Эта опция введена для более тонкой настройки модуля под нужды организации и особенностей конкретной интеграции в локальную сеть. Если у ваших сотрудников есть необходимость отправлять файлы более 1Гб, например, то не имеет смысла загружать сервер постоянно анализом такого объема информации – проверка может занять длительное время, что может негативно отразится на скорости работы всего сервера.

«Политика для непроверяемых файлов» - если установлено значение для опции «Не проверять файлы более чем»  то для подобных файлов необходимо назначить действие при их обработке – Пропускать или Блокировать.

 

Вкладка «Отпечатки»

dlp_04

На данной вкладке можно создать отпечатки ДСП документов. Отпечаток – это специально сформированный набор данных представляющий собой описание исходного документа. По отпечатку невозможно полностью восстановить исходный документ, однако специальный алгоритм внутри модуля DLP позволяет производить сравнение перехваченного файла и исходного, формируя из перехваченного подобный отпечаток.

В модуле DLP, существует два типа хеша – «SmartID» и md5. Работа модуля DLP, в основном, базируется на технологии «SmartID», именно она позволяет идентифицировать ДСП документ, даже если в нем были сделаны изменения. md5 хеш, в свою очередь, позволяет производить начальную фильтрацию файлов. Если md5 хеш перехваченного файла совпадает с md5 хешем ДСП документа, созданного во время его добавления, то дальнейшие проверки через технологию «SmartID» не требуются. В случае же, если md5 хеш перехваченного файла не совпадает ни с одним md5 хешем отпечатков, то анализ файла производится при помощи «SmartID».  Применение md5 хеша призвано облегчить нагрузку на сервер, так как его вычисление менее трудоемкая операция, по сравнению с «SmartID».

Для добавления отпечатка, в конце таблицы нажмите на ссылку «Добавить отпечаток…», откроется соответствующее окно.

dlp_01

После нажатия кнопки «Сохранить», документ получит статус «В обработке». Раз в минуту происходит создание «SmartID» и md5 хеша для только добавленных документов. После создания хеша, исходный ДСП документ удаляется с сервера.

Таблица с отпечатками имеет следующие поля:

«Id» - идентификатор файла отпечатка

«Файл» - имя исходного файла ДСП документа по которому был создан отпечаток

«Описание» - при добавлении нового отпечатка можно создать задать текстовое описание ДСП документа, для упрощения дальнейшей работы

«Размер» - исходный размер файла ДСП документа

«Дата» - дата создания отпечатка

«Хэш» - тип хеша:

oSmartID
oMD5 хеш

«Статус» - созданы ли хешы для текущего ДСП документа, или же он еще в стадии обработки

«Действие» – действие возможно только одно – удаление хеша.

Кнопки на панели вкладки:

«Удалить все отпечатки» - удаление всех созданных ранее отпечатков. Если необходимо удалить какой либо конкретный отпечаток, то для этого существует кнопка «Удалить» в колонке действие.

«Обновить» - обновление данных таблицы. Данная кнопка может быть полезна при ожидании завершения обработки ДСП документа (см. поле таблицы «Статус»)

 

Вкладка «Перехвачено»

dlp_05

На вкладке перехвачено отображены перехваченные данные.

Таблица с перехваченными данными имеет следующие поля:

«Дата» - дата перехвата данных

«Пользователь» - имя пользователя в дереве пользователей Ideco ICS

«IP» - адрес с которого были отправлены данные

«Кому» - в случае с WEB трафиком, в этом поле будет отображен HTTP запрос в котором были найдены ДСП данные.  В случае с почтовым трафиком, будет отображен адрес получателя.

«Размер» - размер перехваченных данных

«Действия» - возможно только одно действие – удаление данных

Кнопки на панели вкладки:

«Удалить все» - удалить все перехваченные файлы и соответствующие записи

«Удалить только файлы» - удалить только перехваченные файлы

«Обновить» - обновить данные в таблице перехваченных файлов

 

Вкладка «Отчеты»

dlp_06

На вкладке отчеты вы можете получить информацию по событиям связанным с модулем DLP. Поддерживаются следующие типы событий:

•        Соединение заблокировано

•        Сигнатуры: файл добавлен

•        Сигнатуры: файл обновлен

•        Сигнатуры: файл удален

•        Соединение

•        Передача файла

•        Передача заблокирована

Помимо спецификации по типу события, можно выбрать пользователя для которого производится выборка, при помощи поля «Пользователь».

 

Установка опции контроля утечек информации на конкретного пользователя

dlp_07

В разделе «Пользователи», на вкладке «Общие» включите галочку «Включить контроль утечек информации – DLP анализ» для сканирования трафика конкретного пользователя или группы. Вы можете поставить эту галочку для группы «Все», но при этом под фильтрацию попадут все кто выходят в Интернет через Ideco ICS, это может замедлить работу сервера.


Внимание! Пока не будет включена галочка «Включить контроль утечек информации – DLP анализ» у пользователя, его исходящий трафик проверяться не будет.