В одной из предыдущих статей мы разобрали, каким образом данные могут утечь из организации и как DLP-система помогает предотвратить утечку информации, не подлежащей распространению. Сейчас же остановимся на конкретных сценариях использования DLP-систем. На примере программного комплекса Кибер Протего рассмотрим, как обеспечить безопасность информации при работе со сменными накопителями, сервисами почты и мессенджерами, удаленной работе через терминальные сессии, а также реализовать контроль хранимых данных и защищенный обмен файлами.
Программный комплекс Кибер Протего, в силу своего модульно-функционального лицензирования, всегда включает как минимум возможности контроля устройств и интерфейсов (за это отвечает базовый компонент Device Control), тогда как остальные функции и воплощающие их компоненты комплекса относятся к опциональным:
- Web Control обеспечивает контроль сетевых коммуникаций.
- Content Control отвечает за контроль содержимого передаваемых данных.
- UAM осуществляет мониторинг активности пользователей.
- TS Essential – это набор лицензий для модулей, обеспечивающих полный контроль в терминальных сессиях для устройств с поддержкой контентного анализа. При необходимости этот набор можно расширить модулями Web Control и UAM для терминальных сессий.
- Cyber Protego Discovery выполняет сканирование рабочих станций и корпоративных сетевых ресурсов. На основании заданных политик модуль способен обнаруживать документы и файлы с конфиденциальным содержимым, осуществлять различные действия с обнаруженными документами, а также инициировать процедуры управления инцидентами, направляя тревожные оповещения в реальном времени.
Ниже приведем несколько примеров использования компонентов Кибер Протего для решения типовых задач по защите данных, стоящих перед организациями.
Ограничение записи на съемные накопители
Рассмотрим первый сценарий. В компании необходимо ограничить сотрудникам доступ к использованию USB-накопителей. Только определенным пользователям должна быть разрешена работа со съемными носителями, при этом на них запрещается записывать конфиденциальную информацию. При выявлении попытки записи конфиденциальных данных необходимо уведомить сотрудников службы ИБ и зафиксировать действия пользователя.
Для реализации этого сценария используется связка модулей Device Control и Content Control. Функциональность первого позволяет не только ограничить доступ к устройствам путем разграничения прав доступа по группам и пользователям в соответствии с правилами, принятыми в организации, но и сформировать белый список устройств, чтобы обеспечить использование только авторизованных накопителей. Например, в белый список вносятся новые устройства, выдаваемые сотрудникам для работы. При сдаче устройств доступ аннулируется путем удаления соответствующих записей в белом списке. Кроме того, Device Control позволяет сохранять в журнале все факты записи на съемные носители и создавать теневые копии данных.
Механизмы контентного анализа (компонент Content Control) в режиме реального времени дают возможность обнаруживать и блокировать несанкционированные операции записи конфиденциальной информации, например документов, содержащих номера паспортов, или совпадающих с образцами конфиденциальных документов. При срабатывании политики сотрудникам службы безопасности отправляется тревожное оповещение.
Если же к связке Device Control и Content Control добавить еще модуль UAM, можно обогатить доказательную базу сохраненной видеозаписью экрана до и после события.
Контроль мессенджеров
В этом сценарии всем сотрудникам компании разрешено использование мессенджера Telegram, а доступ к другим мессенджерам должен быть заблокирован. Требуется отслеживать факты передачи данных через Telegram: создавать запись в журнале и теневую копию передаваемых файлов и содержимого чатов.
Реализация данного сценария достигается за счет использования компонента Web Control, который контролирует большинство распространенных сетевых протоколов и приложений, включая наиболее популярные мессенджеры.
Контроль сервисов веб-почты
В компании необходимо предоставить доступ к почтовым сервисам только определенным пользователям и группам. Для контроля за использованием почтовых сервисов применяется модуль Web Control.
Немного расширим сценарий: нужно также запретить передачу сообщений с прикрепленными архивами или документами бухгалтерии. Здесь потребуется активировать модуль Content Control, который производит проверку передаваемых документов, основываясь не только на определении типа файла, но и, например, на шаблонах регулярных выражений. При обнаружении защищаемых данных передача блокируется, а пользователь получает уведомление о недопустимости такой операции. Факты отправки электронной почты заносятся в журнал, для всех отправляемых сообщений создаются теневые копии.
Контроль хранения конфиденциальной информации
Основным условием в данном сценарии является запрет на хранение на рабочих станциях файлов, содержащих персональные данные, например номера СНИЛС. По правилам, принятым в организации, такую информацию допустимо хранить только на корпоративном файловом сервере.
В этом сценарии аудит файлов осуществляется при помощи компонента Cyber Protego Discovery, который регулярно проводит проверку содержимого хранимых данных. При обнаружении конфиденциальной информации на рабочих станциях отправляется тревожное оповещение ответственным лицам, создается запись в журнале и формируется отчет.
Отметим, что при необходимости компонент Cyber Protego Discovery может быть настроен так, чтобы удалять или ограничивать права доступа к выявленному контенту.
Ограничение использования сервисов файлового обмена
Теперь рассмотрим сценарий совместного использования двух наших продуктов. Для обеспечения защищенного обмена файлами между сотрудниками и контрагентами на предприятии используется корпоративный сервис Кибер Файлы в комплексе с DLP-решением Кибер Протего. Средствами DLP-системы с помощью компонента Web Control запрещается использование любых других сервисов файлового обмена и передача файлов с конфиденциальной информацией.
При передаче файлов на Кибер Файлы, что является разрешенным и проходит «зону контроля» модулем Web Control, механизмы контентного анализа в модуле Content Control анализируют все передаваемые документы. При обнаружении конфиденциальной информации, которая не должна попадать в контур внешнего файлового обмена, Кибер Протего блокирует процесс передачи данных, уведомляя пользователя о недопустимости операции. Для всех отправляемых файлов создаются теневые копии, а факты отправки регистрируются в журнале.
Защита конфиденциальных данных при удаленной работе с подключением к терминальному серверу
В рассматриваемом сценарии у всех сотрудников компании при работе из дома есть удаленный доступ к перенаправленным дискам и буферу обмена в терминальных сессиях.
Чтобы не допустить копирования конфиденциальной информации с рабочих мест на домашние компьютеры, применяется DLP-система Кибер Протего, которая позволяет предотвратить утечку данных при использовании виртуализованных рабочих сред (VDI), терминальных сессий рабочих столов и приложений. Установка компонентов производится на ПК, виртуальную машину или терминальный сервер, к которому происходит подключение. Установка компонентов на клиенты, с которых происходит подключение, не требуется.
Система производит анализ передаваемых данных и при обнаружении конфиденциальной информации блокирует операции записи или копирования. По каждому факту передачи данных создается запись в журнале и теневая копия. Для использования Кибер Протего на терминальных серверах в описываемом сценарии потребуется лицензия TS Essential.
Заключение
Полнофункциональное DLP-решение позволит предотвратить утечку данных в организации через различные каналы, если правильно настроить его под свои потребности. Мы рассмотрели, как можно использовать функциональность программного комплекса Кибер Протего для решения некоторых достаточно простых задач защиты от утечки данных. Вы можете скачать бесплатно пробную версию продукта и проверить на практике, подойдет ли он вашей организации. Также наши специалисты с готовностью ответят на любые вопросы о работе продукта и приобретении лицензий.
