Журнал "Information Security/ Информационная безопасность" #3, 2021

Контроль действий сотрудников на базе графических (видеозапись и снимки экранов) и текстовых данных, собранных в централизованном архиве сплошным потоком без разделения на корпоратив- ные и личные, призван так или иначе решать те же задачи, что и полноценные системы класса DLP, то есть отслеживать передачу конфиденциальной информа- ции за пределы организации в сочетании с детальным протоколированием дей- ствий пользователей. При этом обработка архива всегда требует участия сотрудника службы ИБ, поскольку обработка видео- записей проводится в ручном режиме без возможности автоматизированного анализа содержимого того, что было на экране пользователя. Однако подход к защите информации, построенный на базе только мониторинга, порождает у служб ИБ ложное ощущение защищен- ности при том, что в реальности админи- страторы беспомощно наблюдают на экранах своих мониторов, как конфи- денциальные данные беспрепятственно утекают из их информационных систем. В то же время нет смысла отрицать важ- ность и значимость процедур расследо- вания инцидентов и постоянного анализа журналов событий, вплоть до изучения экранных видеороликов с полной карти- ной рабочего дня отдельно взятых сотруд- ников, например отнесенных к группе риска, – это и косвенная мера пред- отвращения утечек (когда сотрудники знают о ведущемся наблюдении, число желающих нарушать правила резко сокращается), и аналитический инстру- мент для дальнейшего усовершенство- вания системы безопасности. DeviceLock User Activity Monitor На российском рынке мониторинг активности пользователей, равно как и расширенный анализ архива DLP-систе- мы, включающий работу со скриншотами и видеозаписями экрана, а также построением сводных отчетов по поль- зователям, исторически является одним из наиболее востребованных. Следуя требованиям рынка, весной 2021 г. ком- пания "Смарт Лайн Инк" представила рынку новую версию DeviceLock DLP 9, включающую в себя новый компонент – DeviceLock User Activity Monitor (UAM). Компонент DeviceLock User Activity Monitor (UAM) реализован как опцио- нальный, точно так же, как и другие компоненты системы DeviceLock DLP. Этот модуль является неотъемлемой частью агента DeviceLock DLP, который устанавливается на каждый защищае- мый компьютер и обеспечивает воз- можность записи действий пользователя посредством таких инструментов, как видеозапись экрана компьютера, запись нажатий клавиш, сохранение информа- ции о процессах и приложениях, которые выполнялись и запускались во время записи. В процессе видеозаписи DeviceLock способен записывать один или несколько пользовательских экранов в заданном разрешении, в цвете или полутонах, приостанавливать запись при неактив- ности пользователя. Функция кейлоггера предусматривает опцию отключения или включения записи паролей. Принципиальное отличие мониторинга активности в DeviceLock – это избира- 22 • СПЕЦПРОЕКТ Мониторинг активности пользователей в DeviceLock DLP 9.0 ак известно, самый простой подход к защите от утечек информации с компьютеров начинается с применения превентивных мер – запрета передачи данных для конкретных пользователей по различным портам и устройствам. Другой не менее простой, но гораздо менее эффективный способ борьбы с утечками – это контроль действий сотрудников постфактум или на основании видеозаписи экрана, когда служба безопасности осуществляет регулярный мониторинг переданных по всем каналам данных и их криминалистический анализ с целью наказания совершивших кражу данных сотрудников – дабы прочим было неповадно. Оптимальный и наиболее эффективный путь – проверка содержимого передаваемых данных на наличие персональных данных или конфиденциальной информации в режиме реального времени, с последующим автоматическим принятием решения о запрете или разрешении передачи данных и регистрацией детализированной информации о событии, включая видеозапись экрана. К Сергей Вахонин, директор по решениям, Смарт Лайн Инк