DeviceLock 7 DLP Suite. Тревожная сигнализация::БИТ 01.2012
 
                 
Поиск по сайту
 bit.samag.ru     Web
Рассылка Subscribe.ru
подписаться письмом
Вход в систему
 Запомнить меня
Регистрация
Забыли пароль?

Календарь мероприятий
декабрь    2024
Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

показать все 

Новости партнеров

07.12.2024

Avanpost FAM/MFA+ стали еще безопаснее: вышла обновленная версия системы аутентификации

Читать далее 

07.12.2024

M1Cloud: Итоги 2024 года на российском облачном рынке

Читать далее 

06.12.2024

Действия сотрудников назвали главной причиной утечек информации

Читать далее 

06.12.2024

САТЕЛ представляет систему записи разговоров СИЗАР

Читать далее 

06.12.2024

Efros Defence Operations, релиз 2.11: умная киберзащита

Читать далее 

показать все 

Статьи

12.12.2024

Что следует учитывать ИТ-директорам, прежде чем претендовать на должность генерального директора?

Читать далее 

11.12.2024

Сетевая инфраструктура, сетевые технологии: что лучше – самостоятельная поддержка или внешнее обслуживание?

Читать далее 

22.11.2024

Тандем технологий – драйвер инноваций.

Читать далее 

21.11.2024

ИИ: маршрут не построен, но уже проектируется

Читать далее 

18.11.2024

Глеб Шкрябин: «Надежные и масштабируемые системы — основа стабильной работы бизнеса в условиях больших нагрузок»

Читать далее 

14.10.2024

Елена Ситдикова: «На разработчиках программного обеспечения для транспорта лежит большая ответственность перед пассажирами»

Читать далее 

13.06.2024

Взгляд в перспективу: что будет двигать отрасль информационной безопасности

Читать далее 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

показать все 

DeviceLock 7 DLP Suite. Тревожная сигнализация

Главная / Архив номеров / 2012 / Выпуск №1 (14) / DeviceLock 7 DLP Suite. Тревожная сигнализация

Рубрика: Безопасность


 Сергей Вахониндиректор по информационным технологиям ЗАО «Смарт Лайн Инк»

DeviceLock 7 DLP Suite
Тревожная сигнализация

Компания «Смарт Лайн Инк» представила рынку новую версию своего продукта – DeviceLock 7 Endpoint DLP Suite, включающую в себя два новых модуля – NetworkLock™ и ContentLock™ – и являющуюся первой полноценной Endpoint DLP-системой отечественной разработки

Благодаря новым компонентам DeviceLock не только предотвращает утечки через порты и устройства, подключаемые к рабочим компьютерам, но и контролирует различные сетевые коммуникации, а также, что особенно важно, использует технологии контентной фильтрации передаваемых во всех контролируемых каналах данных.

Стремительная консьюмеризация корпоративных ИТ-систем предполагает активное использование для решения сотрудниками своих задач различного рода мобильных устройств, устройств хранения и передачи данных и, конечно же, целого ряда сетевых сервисов начиная с обычного доступа к сети Интернет и электронной почты. Это означает, что жесткая блокировка устройств на уровне портов ввода-вывода или каналов сетевых коммуникаций недопустима, поскольку чревата созданием искусственных помех производственным ИТ-процессам – по сути, внутренних «отказов в обслуживании». В то же время обеспечение информационной безопасности бизнес-процессов требует, чтобы осуществлялась проверка содержимого передаваемых или копируемых данных на наличие конфиденциальной информации (например, персональных данных клиентов компании), особенно учитывая, что отдельные ее сотрудники могут входить в «группу риска», поскольку подозреваются в причастности к нарушениям корпоративной политики информационной безопасности (ИБ).

Для обеспечения безопасности данных на корпоративных компьютерах сегодня все шире применяются специализированные средства предотвращения утечек данных (Data Leak Prevention), которые минимизируют «человеческий фактор» и пресекают нарушения дисциплины, блокируя утечки данных с компьютеров, а также фиксируют и протоколируют все факты и детали попыток нарушений, обеспечивая возможность расследования таких инцидентов, выявления нарушителей и привлечения их к ответственности.

В то же время очевидно, что для службы ИБ необходимо иметь возможность не только анализировать событийную базу постфактум – когда нарушение политики безопасности уже свершилось либо блокировано DLP-системой, – но и реагировать на несанкционированные действия в режиме реального времени, получая оперативные сигналы о попытках доступа к устройствам, передачи данных по электронной почте и другим каналам сетевых коммуникаций и т.п. Более того, практика развития систем информационной безопасности в банковском секторе показывает, что применение централизованных единых систем мониторинга событий ИБ позволяет максимально эффективно использовать данные, получаемые от различных средств обнаружения атак, средств контроля доступа, защиты периметра. Причина такой выгоды проста – в совокупности разнородные средства защиты информации на разных уровнях генерируют огромное количество событий. Журналы событий каждого независимого компонента корпоративной безопасности (DLP-системы, корпоративного антивируса, файрвола и т.п.) хранятся отдельно, вручную найти и сопоставить необходимую информацию весьма затруднительно. Тем более что вместе с сигналами о реальных инсайдерских инцидентах поступает большое количество сигналов о штатных событиях, «ложных» для системы ИБ, что существенно снижает эффективность ее работы. Эта разобщенность устраняется применением централизованных систем мониторинга событий ИБ, которые позволяют автоматизировать процессы сбора и корреляционного анализа событийной сигнализации от средств защиты информации в рамках всей корпоративной ИС. Интеграция событийного анализа и централизация управления отработки нештатных ситуаций принципиально повышают уровень информационной защищенности сетевой инфраструктуры организации в целом.

Учитывая эти факторы, компанией «Смарт Лайн Инк» в ближайшее время будет представлена новая версия DeviceLock Endpoint DLP Suite, в которой появится подсистема оперативного оповещения службы корпоративной ИБ о значимых для службы ИБ попытках нарушения персоналом DLP-политик и попытках административных нарушений со стороны обслуживающего DLP-систему ИТ-персонала. В частности, DeviceLock будет отсылать «сигналы тревоги» о событиях доступа к устройствам и сетевым протоколам, событиях административного характера, связанных с изменением DLP-политик, установке или удалении агента. Информация о каждом событии содержит такие данные, как дата и время события, компьютер, на котором произошел инцидент, имя пользователя, тип события и само событие (чтение, запись, чат и т.п.), имя устройства или сетевого протокола и другое. Среди административных инцидентов стоит отметить такие, как выявленное повреждение или изменение применяемых DLP-политик, попытка нарушения целостности агента DeviceLock, изменение списка администраторов DeviceLock. Также фиксируется и происходит оповещение офицера ИБ в случае, когда пользователь с недостатком прав на изменение DLP-политик пытается неоднократно применить произвольные политики.

Оперативные оповещения (тревожные сигналы, алерты) в DeviceLock настраиваются точно так же, как и традиционное журналирование событий безопасности, но с тем отличием, что события регистрируются не в журналах аудита, а в режиме реального времени отсылаются в соответствии с заданными настройками по указанным протоколам. Разумеется, система оперативного оповещения не заменяет и не отменяет систему аудита и прекрасно с ней сосуществует. Можно задать режим отсылки оповещений при срабатывании отдельных DLP-политик, даже если алерты не предусмотрены для устройства или протокола в целом.

DeviceLock позволяет задать различные настройки оперативных оповещений для online- и offline-режимов работы компьютеров

DeviceLock позволяет задать различные настройки оперативных оповещений для online- и offline-режимов работы компьютеров. Это дает службам ИБ возможность оперативно реагировать на ситуации, когда, например, пользователь отключается от корпоративной сети, выходит в Интернет через стороннюю Wi-Fi-сеть и пытается отправить файл, содержащий конфиденциальные данные, через личный аккаунт почтового веб-сервиса.

Передача оперативных оповещений осуществляется по протоколам SMTP и SNMP. Администратор DeviceLock задает получателей для сообщений электронной почты либо необходимые параметры для передачи алертов по протоколу SNMP. Использование протокола SNMP, являющегося общепризнанным стандартом передачи сигналов тревожной сигнализации, позволяет прозрачно встроить подсистему тревожной сигнализации DeviceLock в уже используемую в компании систему управления алертами и менеджмента инцидентов в корпоративной ИС. На рынке представлены десятки систем класса SIM/SIEM, такие как IBM Tivoli, ArcSight, netForensis, Cisco MARS, LogLogic и ряд других.

Важно отметить, что DeviceLock лишен проблемы ложных срабатываний, представляя службе ИБ оповещения только о тех событиях, которые действительно случились и имеют значение для расследования инцидентов или оперативного реагирования службы ИБ.

Сочетание функционала компонентов DeviceLock, NetworkLock и ContentLock с новыми возможностями подсистемы тревожной сигнализации дает службам ИБ весь необходимый инструментарий для оперативного контроля, аудита и анализа активности пользователей в Сети и с использованием внешних устройств. Комбинирование и сочетание правил контроля и аудита, задаваемых в DeviceLock DLP Suite, позволит оградить рассеянных и забывчивых сотрудников от случайной отправки в Сеть ценной корпоративной информации, при этом блокируя сознательные нарушения со стороны злонамеренных инсайдеров. Служба ИБ при этом принимает на себя гораздо больше ответственности, получая взамен возможность оперировать гораздо большим объемом знаний. Кроме того, среди выгод от интеграции подсистемы тревожной сигнализации в DeviceLock и корпоративной системы менеджмента инцидентов необходимо отметить такие, как гарантированное время реагирования на критичные для бизнеса инциденты ИБ, постоянный контроль состояния информационной безопасности корпоративной сети, автоматизация процесса обнаружения угроз.

Чтобы внедрить в организации реально работающую DLP-систему и качественный менеджмент инцидентов ИБ, потребуется детально изучить и понять, а где-то даже изменить бизнес-процессы компании, четко определить требования к безопасности информации и затем уже интерпретировать эти требования в понятия DLP-политик DeviceLock. Однако дополнительные трудовые и прочие затраты на внедрение и эксплуатацию интеллектуальной DLP-системы – это более чем оправданная цена за значительное снижение рисков и ущерба организации от утечек конфиденциальных данных и возможность оперативного реагирования на инциденты информационной безопасности.

В начало⇑

 

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи

Выпуск №07 (140) 2024г.
Выпуск №07 (140) 2024г. Выпуск №06 (139) 2024г. Выпуск №05 (138) 2024г. Выпуск №04 (137) 2024г. Выпуск №03 (136) 2024г. Выпуск №02 (135) 2024г. Выпуск №01 (134) 2024г.
Вакансии на сайте Jooble

БИТ рекомендует

           

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

 

Copyright © Системный администратор

  Яндекс.Метрика