Обратная связь

раскрутка сайта
joomla templates




С помощью формы обратной связи вы можете оставить сообщение или направить запрос по интересующей вас теме.



Ваше сообщение / вопрос*:



Нажмите на изображение, чтобы его изменить





Спасибо за сообщение

 

Благодарим за обращение в НТЦ «Вулкан»! Специалист компании ответит на ваш запрос в течение ближайшего времени

 

 

OK

DLP

Технология

По результатам последних исследований наибольшие опасения у владельцев информационных ресурсов вызывают именно угрозы утечки информации, а также халатность пользователей при обработке конфиденциальных данных, поскольку реализовать несанкционированный доступ к информации изнутри всегда гораздо проще, чем пытаться взломать систему извне.

Технологии, реализуемые системами предотвращения утечек данных (Data Loss/Leak Prevention, DLP), направлены на нейтрализацию данных угроз.

Как правило, DLP-система состоит из следующих компонентов:

  • средства предотвращения утечек на сетевом уровне для перехвата и фильтрации исходящего сетевого трафика;
  • локальные агенты для АРМ и серверов для предотвращения утечек на съемные носители и периферийные устройства;
  • средства управления, регистрации и мониторинга.

В зависимости от состояния контролируемых данных выделяют три категории объектов защиты:

  • data-in-motion — информация, передаваемая по каналам связи;
  • data-at-rest — информация, хранящаяся на накопителях в любом представлении;
  • data-in-use — информация, обрабатываемая в текущий момент.

Компоненты DLP-системы осуществляют анализ содержимого электронных документов, используя:

  • словари ключевых слов и выражений;
  • регулярные выражения;
  • цифровые отпечатки.

Также применяются методы «черных» и «белых» списков:

  • по типам и форматам электронных документов;
  • по источникам и получателям документов;
  • по типам внешних устройств и т.п.

В случае выявления конфиденциального содержимого DLP-система может выполнить различные действия:

  • зафиксировать факт выполнения операции (мониторинг), в том числе с созданием теневой копии;
  • уведомить пользователя, в том числе запросить подтверждение на выполнение операции;
  • блокировать данную активность;
  • перенаправить данные и/или провести их зашифрование с использованием сторонних СКЗИ.

DLP-системы, присутствующие на рынке, различаются главным образом типами поддерживаемых источников и функциональными возможностями по обработке данных.

McAfee DLP

dlp1

Компоненты McAfee DLP:

  • McAfee DLP Endpoint – программный агент для АРМ и серверов, функционирующих под управлением операционных систем Microsoft Windows;
  • McAfee Network DLP Monitor – программно-аппаратный комплекс (ПАК), осуществляющий сканирование и анализ сетевого трафика, поступающего со SPAN-порта(ов);
  • McAfee Network DLP Discover – ПАК, сканирующий репозитарии данных с целью выявления хранимой конфиденциальной информации;
  • McAfee Network DLP Prevent – ПАК, интегрированный с прокси-серверами, блокирующий несанкционированные операции на прикладном уровне;
  • McAfee Network DLP Manager – ПАК, дополнительный компонент управления устройствами класса McAfee Network DLP.

Ключевыми преимуществами McAfee DLP над конкурентными DLP-решениями являются:

  • русифицированный интерфейс и документация;
  • использование тегов для дополнительной маркировки электронных документов;
  • интеграция всех продуктов McAfee, Inc. в единую веб-консоль управления – McAfee ePolicy Orchestrator;
  • доступность устройств McAfee Network DLP в виде ПАК или ПО, поддерживающего развертывание в виртуальной среде;
  • наличие версии, сертифицированной по требованиям безопасности информации.

logo-dlp-mcafee

Презентация о McAfee DLP


McAfee Network DLP Prevent интегрируется с почтовыми серверами и добавляет данные в заголовок почтового сообщения (BLOCK или ALLOW).

 

DeviceLock Endpoint DLP Suite

DeviceLock позволяет управлять доступом пользователей к устройствам через групповые политики домена

Комплекс DeviceLock включает в себя три основные части:

  • агент (DeviceLock Service);
  • сервер (DeviceLock Enterprise Server и DeviceLock Content Security Server);
  • консоли управления.

1.DeviceLock Service – программный агент для АРМ и серверов, функционирующих под управлением операционных систем Microsoft Windows и MacOS.
Агент является ядром системы DeviceLock и содержит:

  • базовый компонент DeviceLock обеспечивает полный набор механизмов контекстного контроля доступа пользователей, а также обеспечивает событийное протоколирование (аудит) и теневое копирование данных для всех локальных каналов ввода-вывода (периферийные устройства, буфер обмена, принтеры);
  • компонент NetworkLock™ обеспечивает контекстный контроль каналов сетевых коммуникаций на рабочих компьютерах (SMTP, web-почта, web-доступ и другие HTTP/HTTPS-приложения, мессенджеры, социальные сети, передача файлов через файлообменные сервисы, по протоколам FTP и FTP-SSL, a также Telnet-сессии);
  • компонент ContentLock™ реализует механизмы контентного мониторинга и фильтрации файлов и данных, передаваемых с/на сменные носители и в каналах сетевых коммуникаций.

2.DeviceLock Content Security Server – дополнительный компонент, включающий в себя компонент Search Server (DLSS), который обеспечивает полнотекстовый поиск по централизованным базам данных теневого копирования и событийного протоколирования DeviceLock.

DeviceLock Enterprise Server – это дополнительный необязательный компонент, используемый для централизованного сбора и хранения данных теневого копирования и журналов аудита.

3.Консоль управления – это интерфейс контроля, который используется для удаленного управления любой системой, на которой установлен агент (DeviceLock Service).
DeviceLock поставляется с четырьмя различными консолями управления:

  • DeviceLock Management Console (оснастка для MMC);
  • DeviceLock Enterprise Manager;
  • DeviceLock WebConsole;
  • DeviceLock Group Policy Manager (интегрируется в редактор групповых политик Windows). DeviceLock Management Console также используется для управления DeviceLock Enterprise Server и DeviceLock Content Security Server

  DeviceLock 7 Архитектура комплекса 001

Презентация о DeviceLock Endpoint DLP Suite

InfoWatch Traffic Monitor

Компоненты решенияКомпоненты InfoWatch Traffic Monitor Enterprise 6:

InfoWatch Traffic Monitor — модуль для защиты периметра корпоративной сети.

Передача информации через сетевые каналы передачи данных (web-сервисы, почтовые и файловые сервера, сервисы мгновенных сообщений) осуществляется через сетевой шлюз и контролируется модулем сетевого перехвата, который также передает перехваченные данные на сервер Traffic Monitor.

InfoWatch Device Monitor — модуль для защиты рабочих станций.

Программные агенты Device Monitor, установленные на рабочих станциях, контролируют локальные процессы обработки информации. При сохранении документов на съемные носители агент создает идентичную копию этого документа, а при печати — его графическую копию. Созданные документы называются теневыми копиями. Теневые копии передаются на сервер Traffic Monitor для дальнейшего анализа.

InfoWatch Device Monitor Mobile — модуль для защиты мобильных устройств (как часть модуля InfoWatch Device Monitor).

Программные агенты Device Monitor Mobile, установленные на мобильные устройства, обладают следующим функционалом контроля информации: теневое копирование и архивирование всех фотографий, сделанных на смартфоне; перехват и теневое копирование всего исходящего HTTP(S)-трафика смартфона; перехват и теневое копирование переписки по SMS и WhatsApp; контроль публикации и загрузки файлов через мобильные приложения.

InfoWatch Person Monitor — модуль для точечного контроля сотрудников «под подозрением» и расследования инцидентов «по горячим следам».

InfoWatch Crawler — модуль для контроля информации в общедоступных сетевых хранилищах и системах документооборота.

Модуль осуществляет сканирование и применение политик к информации, хранящейся «в покое», а также поддерживает в актуальном состоянии эталонные документы и выгрузки.

InfoWatch Forensic Storage — модуль централизованного архивирования и управления.

Модуль является специализированным хранилищем, содержащем архив всех информационных потоков организации, в том числе нарушения политик безопасности и факты утечек конфиденциальной информации; является юридически значимой доказательной базой при проведении внутрикорпоративного расследования инцидентов и в ходе судебных разбирательств.

 

Ключевыми преимуществами InfoWatch Traffic Monitor Enterprise 6 над конкурентными DLP-решениями являются:

  • глубокая интеграция технологий (детектор заполненных анкет, печатей, графических объектов, выгрузок из баз данных; лингвистический анализ; анализатор шаблонов; OCR; комбинированные объекты защиты и т.д.);
  • наличие специальных отраслевых решений баз контентной фильтрации;
  • возможность работы системы в режиме контентной блокировки на уровнях сети и агентского приложения;
  • широкие возможности по интеграции со сторонними бизнес-системами и системами по обеспечению информационной безопасности;
  • построение различных конфигураций DLP-системы в зависимости от требований бизнеса.

 

преза

 

Презентация о InfoWatch Traffic Monitor Enterprise 6.5

Solar Dozor

Схема-ДозорКомпоненты Solar Dozor 6.0:
• Dozor Core – ядро DLP, выполняющее анализ перехваченных сообщений и действий пользователей в соответствии с правилами политики, а также хранение перехваченных данных и управление инцидентами ИБ. Базовый модуль Dozor Core может быть расширен модулем централизованного управления несколькими системами Dozor Multi Core и модулем долговременного хранения архива коммуникаций Dozor Long-Term Archive;
• Dozor Data Profiling and Protection – набор модулей, обеспечивающих предотвращение утечек информации:
o Модуль контроля корпоративных почтовых коммуникаций (Dozor Mail Server Connector) – осуществляет мониторинг сообщений почтовых серверов (Microsoft Exchange Server и др.), блокирование или реконструкцию почтовых сообщений в соответствии с политикой безопасности;
o Модуль перехвата и распознавания сетевого трафика (Dozor Traffic Agent) – обеспечивает перехват исходящего и входящего интернет-трафика организации;
o Модуль контроля рабочих станций (Dozor Endpoint Agent) – реализует контроль действий пользователей на рабочих станциях. Dozor Endpoint Agent позволяет перехватывать данные, передаваемые по протоколам HTTP/HTTPS и через системы мгновенного обмена сообщениями (Skype и др.), а также контролировать печать, буфер обмена, съемные носители, активность пользователей и отдельных приложений на рабочей станции;
o Модуль инвентаризации файловых хранилищ (Dozor File Crawler) – позволяет контролировать содержимое файловых хранилищ и выявлять нарушения политики хранения конфиденциальной информации;
o Модуль прокси-сервера (Dozor Web Proxy) – обеспечивает контроль информационного обмена, осуществляемого по протоколам HTTP(S) и FTP over HTTP, между корпоративной сетью и ресурсами сети Интернет.
• Dozor Personal Profiling and Analytics – набор модулей, предназначенный для выявления аномального поведения сотрудников и расследования инцидентов ИБ:
o Модуль расследований и анализа информации (Dozor Profile and Anomaly Detection) – осуществляет анализ поведения сотрудников и их коммуникации и выявление аномалий, а также позволяет проводить расследования инцидентов ИБ.
Ключевыми преимуществами Solar Dozor 6.0 над конкурентными DLP-решениями являются:
• Реализация всех необходимых функций DLP-системы;
• Современный и интуитивно понятный интерфейс Solar Dozor 6.0;
• Широкие возможности по профилированию и выявлению аномалий в поведении и в коммуникациях сотрудников;
• Возможности интеграции со сторонними DLP-системами, а также системами класса Security Intelligence, Business Intelligence.

 SD logo

Презентация о Solar Dozor 6.0

Falcongaze SecureTower

Компоненты SecureTower:Falcon

  • Сервер перехвата трафика – сервер осуществляет перехват трафика со SPAN-порта с последующим анализом и сохранением перехваченной информации в базе данных;
  • Сервер обработки информации – сервер осуществляет индексирование перехваченных данных, полнотекстовый поиск по ним, автоматический анализ данных и отправку уведомлений о передаче конфиденциальных данных;
  • Сервер контроля рабочих станций – сервер предназначен для централизованной установки на рабочие станции агентов для перехвата шифрованного трафика и данных, передаваемых на внешние устройства и принтеры;
  • Консоль службы безопасности – консоль позволяет осуществлять полнотекстовый поиск по ключевым словам, просматривать перехваченные данные в удобном представлении, анализировать их, в том числе формировать карточки пользователей.
  • Консоль администратора – консоль администратора используется для настройки всех компонентов SecureTower, в том числе позволяет устанавливать и изменять параметры перехвата и периодичность индексирования данных, предоставляет возможности по фильтрации данных при перехвате и управление агентами.

Ключевыми преимуществами SecureTower над конкурентными DLP-решениями являются:

  • Быстрое развертывание;
  • Перехват шифрованного трафика на агенте;
  • Контроль рабочего времени сотрудников;
  • Наличие сертификатов ФСТЭК России.

 Иконка

 Презентация о Falcongaze SecureTower

Дополнительно

Публикации НТЦ «Вулкан» по тематике DLP-систем

Shemchuk

Статья в свежем номере журнала «Information Security»

62-67 001

Статья в журнале Windows IT Pro

DLP itogi

 

Рынок DLP: итоги-2012, тенденции-2013, перспективы-2014 − мнение эксперта

Информационная безопасность, №3/2013 

 

tmb dlp

DLP-система как объект… атаки

Информационная безопасность, №3/2013

DLP th

Десяток способов преодоления DLP-систем

Доклад НТЦ «Вулкан» на форуме PHDays 2013

IS DLP 1 sh

Защита от утечки данных: комплексная терапия

Информационная безопасность, №3/2012

DLP men of exp sh

Рынок DLP − мнение эксперта

Информационная безопасность, №3/2012