Журнал "Information Security/ Информационная безопасность" #3, 2021

тельный принцип включения видеоза- писи экрана и/или клавиатурного ввода, а также сведений о запущенных про- цессах по наступлению заданных систем- ных событий (триггеров). Такими собы- тиями могут быть запуск определенного процесса или переключение на опреде- ленное окно, обнаружение подключений VPN, LAN, WLAN, подключение перифе- рийных устройств, в том числе включен- ных в белый список USB-устройств, бло- кировка доступа к устройству или сете- вому протоколу и, что самое важное и полезное, срабатывание DLP-политики, включая основанные на анализе содер- жимого при детектировании заданного содержимого в передаваемых, сохра- няемых, печатаемых данных, независимо от наличия подключения АРМ к корпо- ративной сети/серверам. При необходи- мости записи активности пользователя в течение всего его рабочего дня за компьютером таким триггером может служить вход в систему. В общем случае запись ведется до тех пор, пока активен триггер (например, будет закрыто целе- вое окно или пользователь выйдет из системы), или по заданному времени. UAM как качественное расширение правил контентного анализа Возможность включения функции видеозаписи экрана и записи клавиа- турного ввода по триггерам является критически важной, поскольку позволяет ограничить объем мониторинга до разум- но необходимого и достаточного с помо- щью современных технологий контент- ной фильтрации. Такие технологии, реа- лизованные в DeviceLock DLP, позволяют ограничить доступ и обработку DLP- системой только корпоративных данных, когда DLP-система игнорирует все, что не относится к категории данных ограни- ченного доступа, представляющих цен- ность для организации, как в задаче контроля процессов перемещения дан- ных, так и при создании архива пользо- вательских операций с централизован- ным хранением видеозаписей экрана. Грамотный и взвешенный подход к использованию контентных фильтров с исключением из мониторинга неакту- альных для службы ИБ данных (напри- мер, личные данные сотрудников) при- водит к существенному повышению качества мониторинга и содержимого централизованного архива. Для этого следует включать опцию записи экрана и клавиатурного ввода не только по базовым триггерам, таким как запуск определенного процесса, или помещать в архив не все видеозаписи подряд, а только связанные с детектированием процесса передачи защищаемых дан- ных – тех, на которые еще на агенте сработали правила анализа содержи- мого. Безусловно, это потребует неко- торых трудозатрат на всех этапах внед- рения DLP-системы в организации, но в результате сведет к минимуму этические и правовые проблемы, вызываемые сбо- ром теневых копий и видеозаписью сплошным потоком, тогда как автома- тизированный отбор передаваемой в архив информации на базе анализа контента без участия ИБ-специалистов решает эту проблему. Приведем пример, когда видеозапись экрана может быть полезной даже при срабатывании правила защиты конфи- денциальной информации, то есть при фактическом предотвращении утечки защищаемых данных. Пользователь пытается отправить по электронной почте сообщение с вложением в виде архивированного документа. Однако при анализе передаваемого сообщения и вложения DeviceLock DLP детектирует совпадение цифрового отпечатка доку- мента, предварительно запакованного злоумышленником в архив, с образцом в базе цифровых отпечатков и класси- фикацией уровня "конфиденциально" и, следуя заданной политике, блокирует отправку сообщения. Наш злоумышлен- ник понимает, что наткнулся на проти- водействие и, намереваясь "замести следы", старательно удаляет и черновик сообщения, и сам архив с конфиденци- альным документом. Очевидно, что дей- ствия по скрытию следов нарушения уже никак не будут отслежены штатными средствами DLP-системы, ведь никакой передачи информации уже не происхо- дит. Однако начавшаяся по триггеру "сработало контентно-зависимое прави- ло" видеозапись экрана предоставит глазам службы безопасности весь этот прекрасный процесс. Стоит отметить еще один немаловаж- ный функциональный аспект реализации мониторинга активности пользователей в DeviceLock DLP, он реализован с под- держкой консолидации журналов, как это было сделано ранее для централи- зации сбора событий событийного про- токолирования и теневых копий. Это означает, что в организациях, имеющих несколько филиалов, DeviceLock будет поддерживать схему с централизован- ным сбором данных мониторинга актив- ности на сервер в центральном офисе (он же мастер-сервер) с серверов филиа- лов по заданному расписанию. Для аген- тов DeviceLock может быть задано несколько серверов системы и указаны правила выбора сервера при передаче накопленных данных в архив. Каждый такой сервер подключается к SQL-сер- веру и хранит свои данные (события, теневые копии, а теперь еще и видеоза- писи экрана и нажатия клавиш) в отдель- ной базе данных. Более того, к одному SQL-серверу может быть подключено несколько серверов хранения. Такая схема позволяет органи- зовать работу с архивом событий на разных уров- нях организации – и в филиалах, и в головном офисе. В заключение подчеркну, что полно- ценные DLP-решения должны быть спо- собны функционировать без участия человека, только тогда анализируемая и собираемая в архив информация не станет достоянием посторонних глаз, включая даже сотрудников службы без- опасности. Решение о запрете или раз- решении передачи информации, а также видеозапись экрана и нажатия клавиш должно осуществляться DLP- системой на компьютере сотрудника в полностью автоматическом режиме. Это означает, что анализ информации должен проводиться в режиме реаль- ного времени на основании заранее предопределенных политик для детек- тирования защищаемых данных, а не сбора всей передаваемой служебной или личной информации подряд. Как следствие, проанализированные аген- том DLP-системы данные не покидают рабочую станцию без необходимости ее дальнейшего просмотра службой безопасности или хранения в центра- лизованном архиве DLP-системы, при этом такие данные с высокой долей вероятности будут относиться к кате- гории защищаемых, а не личных или общественно доступных. Только при таком условии использование DLP- решений позволит исключить наруше- ния прав сотрудников на личную и семейную тайну. DeviceLock DLP является одним из лучших и единственным российским решением класса Endpoint DLP среди представленных на мировом рынке, обладающим полным функциональным арсеналом современных DLP-систем. Благодаря использованию DeviceLock DLP предотвращаются хищения инфор- мации через съемные накопители и дру- гие подключаемые внешние устройства, канал печати, электронную почту, мес- сенджеры, облачные файлообменные сервисы и т.д. Технологии избиратель- ного мониторинга деятельности сотруд- ников, реализованные в DeviceLock DLP версии 9 как часть полноценного DLP- решения, обеспечивают юридическую документируемость и повышение уровня доказательности несанкционированных попыток доступа и фактов копирования защищаемых организацией данных при расследовании инцидентов информа- ционной безопасности, упрощая процесс выявления подозрительного поведения пользователей и злоупотребления при- вилегиями доступа или политиками защиты данных, что в результате при- водит к снижению рисков утечки инфор- мации. l • 23 DLP www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ Смарт Лайн Инк см. стр. 72 NM Реклама

RkJQdWJsaXNoZXIy Mzk4NzYw