DLP от Zecurion

Многим специалистам по ИБ Zecurion знаком по продукту Zlock, предназначенному для предотвращения утечек на периферийные устройства. Логичным развитием стало появление продукта Zgate, контролирующего сетевой трафик. К слову, управление и тем и другим объединено в одной консоли... И впереди Вас ждет обзор этого DLP-решения. Но прежде чем начать...

Дисклеймер

Информация об используемых средствах защиты и их конфигурации была занесена (по логичным причинам) в перечень информации ограниченного доступа. Поэтому, из моего повествования "злодеи" не должны догадаться, какой из пилотируемых продуктов мы выбрали/выберем. И, следовательно, статья будет носить довольно общий характер и всего-всего на страницы блога не попадет... и даже сравнительного анализа не будет. Главным образом внимание будет акцентировано на интересных фичах и общей архитектуре решений.

Приступим. Zecurion ворвался в наш план пилотов резко и неожиданно - сделали нам коммерческое предложение, от которого мы не могли отказаться. А маркетинг другой компании, DLP-система которой раньше стояла в плане, напротив, допустил ошибку. В результате такого совпадения к нам и попал сервер Zgate. Предоставленная в пилот железка сначала не справлялась с нагрузкой, но ограничив прожорливость используемой СУБД (MS SQL) удалось добиться стабильной работы.

Архитектура Zgate мне понравилась из-за своей простоты и гибкости. Весь перехваченный трафик пробегает через набор правил (условие - действие). В журнале анализа по каждому объекту в дальнейшем наглядно можно увидеть, как по этим самым условиям объект "проходил". Правда возникло ощущение, что по умолчанию предполагается режим установки "в разрыв", т.к. для фильтрации мусора нужно выбирать действие "Отправить сообщение" (что означает - игнорировать сообщение).

Схема включения Zgate

Среди прочих есть действия "Отправить в архив" и "Отправить на карантин". Карантин - часть базы перехваченных объектов, которую я использовал как отправную точку для анализа инцидентов. Но для этого, конечно, сначала нужно настроить "отлов".

Окно просмотра

К отлову, по цифровым отпечаткам никаких вопросов нет - стабильно работает (впрочем, как и в остальных DLP-шках). Более же интересно использование словарей. Автоматическая их генерация из массива документов - это здорово, но сформированный словарь, честно говоря, штука не особо полезная (по крайней мере при текущей реализации). Куда интересней использование словарей для поиска пересылки больших (и даже небольших) баз с защищаемой информацией. В словарь можно загнать, скажем, базу сотрудников (если это защищаемая информация, конечно) и, во избежании коллизий и реагирования на легитимные письма (скажем, ФИО указывается в подписи к письму), можно настроить срабатывание (в моем случае попадание в карантин для дальнейшего расследования) на сообщения, в которых встречаются более, ну например, 20 ФИО сотрудников.

Правда, был со словарями небольшой, но неприятный баг. Но разработчики (нужно отдать им должное) очень быстро выпустили и прислали патч, исправляющий этот баг. А так как система развернута на платформе от Microsoft никаких мучений с "патчингом" не возникло (в отличие от некоторых других DLP-решений).

Но вернемся к словарям. Дополнительные опции для анализа:

• Морфологии (по словарю соответствующего языка)
• Стремминга (поиск основ слова)
• Транслитерации (если слово написано транслитом)

Интересная вещь - лингвистический анализ методом Байеса (правда не использовал, но в аналогичных системах добивался хороших результатов) - впрочем, грамотное составление такого словаря работа кропотливая.

Пару слов нужно сказать о "Справочнике контактов". Система анализирует накопленную базу и составляет на каждого пользователя системы список, скажем так, различных меток, по которым его можно идентифицировать (от IP и имени машины, до номера ICQ и имени контакта в Linkedin). Следующим логичным шагом стало бы использование этих контактов для создания запросов в БД... но, к сожалению, на текущий момент это не реализовано.

Ну вот, кажется, и все что можно рассказать. Сейчас активно тестируем DozorJet - примерно через месяц будет обзор и по ним.

Понравилась статья? Нажми на кнопку и расскажи друзьям: