DeviceLock- как защититься от инсайдера

27 Января 2010
Кража конфиденциальной информации – "горячая тема" на рынке информационной безопасности последних лет. О том, как противостоять подобным преступлениям с помощью эффективного средства DeviceLock, читайте в сегодняшнем материале.

Кража конфиденциальной информации - "горячая тема" на рынке информационной безопасности последних лет. Причиной этому является как постоянно растущий спрос на подобные "услуги" со стороны недобросовестных конкурентов, так и чрезвычайно быстрое распространение мобильных средств хранения данных, позволяющих похитить простым копированием нужные данные. О том, как противостоять подобным преступлениям с помощью эффективного средства DeviceLock, читайте в сегодняшнем материале.

Классические методы инсайдера прошлых лет по передаче корпоративных сведений обычно сводились к нескольким практикам: распечатке или созданию факсимильных копий документов (медленно и достаточно легко обнаруживается) и отправке сообщений по E-mail/мессенджерам/загрузка на файлообменные сервера или передача через P2P-сервисы (довольно быстро, но снова легко обнаруживается, если в компании установлен сколько-нибудь вменяемый межсетевой экран или контроль трафика). В эпоху распространения сменных накопителей, которыми являются не только "флешки", внешние диски и карты памяти, но и мобильные устройства (телефоны, смартфоны, коммуникаторы, медиаплееры) украсть информацию стало гораздо легче и незаметнее. Безусловно, системный администратор может отключить возможность установки любых драйверов на новое оборудование, тем самым, воспрепятствовав подключению некоторых типов устройств, однако, по большому счету, этот запрет легко обходится. Поэтому для сотрудников безопасности важно отследить, как, когда и какие данные были переданы, чем выслушивать жалобы сотрудников на невозможность подключения очередной "флешки" взамен сломавшегося или потерянного авторизованного носителя для использования за месяц. Рассмотрим, как развернуть подобную защиту с помощью отечественной разработки DeviceLock, издающуюся в России под маркой 1С:Дистрибьюция.

Установка и настройка DeviceLock

Инсталлятор DeviceLock позволяет в интерактивном режиме установить и настроить приложение для работы на ОС Windows NT 4.0 и выше, включая Windows 7/Server 2008 R2, как в 32-, так и в 64-битном варианте. В ходе установки пользователю будет предложено на выбор поставить или полный комплекс компонентов DeviceLock (со службой или с сервером, в зависимости от имеющейся системы), или осуществить выборочную инсталляцию. Мы предлагаем с целью экономии времени выбирать из первых двух вариантов, поскольку в процессе настройки и использования остальные части программы придется доустанавливать вручную менее удобным способом. В ходе процесса копирования файлов DeviceLock запрашивает сертификат безопасности, который в случае чистой установки, разумеется, надо создать (что это такое, мы расскажем чуть дальше) или импортировать имеющийся. На финальной стадии работы инсталлятора появляется окно, в котором галочками можно отметить выбранные блокируемые типы и классы устройств, а также создать автоматически соответствующие групповые политики. Выполнять этот шаг, в принципе, необязательно, поскольку в дальнейшем эти же настройки обнаруживаются в консоли администрирования с более детальными опциями (например, отключение возможности прочтения информации о созданных календарных записях из Windows Mobile-коммуникатора в выходные дни), однако, для опять-таки экономии времени этой возможностью можно воспользоваться.

DeviceLock

После окончания установки пользователь должен запустить DeviceLock Management Console и выбрать подключение к существующему серверу. Для работы приложения потребуется также СУБД – в списке поддерживаемых значится MS SQL Server, поэтому или полный, или ограниченно функциональный бесплатный ее вариант должен быть установлен на машине. Как нетрудно догадаться, в базе данных будет храниться существенная информация, которая поможет обнаружить утечку корпоративных данных и даже может фигурировать в качестве доказательства в суде.

Принцип работы защиты DeviceLock

DeviceLock позволяет отслеживать перемещение данных, проходящих через все основные интерфейсы (USB, COM, LPT, FireWire, ИК, WLAN и Bluetooth) и подключаемые к ним устройства (Windows Mobile-коммуникаторы и смартфоны через ActiveSync/Windows Mobile Device Center, iPhone/iPod Touch через iTunes, Blackberry-коммуникаторы, а также любые медиаплееры, принтеры, сканеры, фотокамеры и так далее). Также поддерживается контроль доступа пользователей к дисководам, жестким дискам и сменным носителям. Администратор может или запретить использование подобных средств, или включить специальные ограничения (например, оставить режим "только чтение" для "флешек"). Помимо этого приложение протоколирует все выполняемые операции, занося в журнал действий не только их описания, но и проводит аудит этих данных. Еще одна возможность DeviceLock – поддержка теневого копирования, что дает возможность сохранять идентичные оригиналу копии данных, которые перемещались на подконтрольные устройства. Они сохраняются в компактной реляционной базе данных, что позволяет в нужный момент времени найти их в ней, извлечь и представить в роли неопровержимых доказательств причастности инсайдеров в суде. Это возможно за счет использования технологий "цифровых отпечатков" файлов, которая определяет их происхождение и сверяет с базой известных конфиденциальных типов и форматов данных. В базе данных и в журналах аудита поддерживается сквозной полнотекстовый поиск текста внутри имеющихся файлов (работает для архивов GZIP, ZIP, RAR), файлов MS Office, Lotus и Open Office, PDF). Для обеспечения быстрых результатов поиска применяются индексаторы, которые создаются через равные промежутки времени автоматически. Для этого необходимо установить специальный компонент DeviceLock Content Security Server, который обеспечит поиск в базе данных DeviceLock Enterprise Server.

DeviceLock

Работа с программой

DeviceLock прост в использовании и конфигурировании – при назначении, например, запрета на подключение к компьютеру смартфона, служба перехватывает обращение операционной системы и проверяет наличие соответствующих полномочий у конкретного пользователя. Обойти защиту в этом случае, подключив, например, смартфон в режиме USB Mass Storage ("флешки"), вряд ли получится, поскольку DeviceLock проверит не только интерфейс (USB), но и тип устройства (съемный накопитель) и выдаст соответствующее предупреждение, если не убедиться в соотнесении обоих полномочий с этим пользователем. Отдельного упоминания заслуживает функция программы по отслеживанию и перехвату нажатий на клавиатуре, которая загружается раньше стандартных программных или аппаратных кейлоггеров.

DeviceLock

Поскольку в организации в любом случае есть определенный список устройств, которые должны быть разрешенными к подключению, в DeviceLock присутствует возможность создание постоянных и временных "белых списков". Разница между ними состоит в том, что первый список подразумевает выделение каких-либо определенных девайсов (в программе есть база устройств по названиям) для доступа на постоянной основе (включая конкретный CD/DVD диск, который вставлен в заблокированный дисковод), а временный предполагает эпизодическое подключение того или иного девайса. В последнем случае пользователь будет связаться с администратором системы и сообщить ему специальный код, который будет показываться на экране в момент подключения неразрешенного устройства, а администратор, в свою очередь, выдаст ему сгенерированный на определенный срок ключ доступа.

DeviceLock

Выводы

В надежности схемы работы DeviceLock можно не сомневаться – полный доступ к управлению программой есть только у того, кто ее устанавливал, поэтому другие пользователи практически не имеют шансы обойти ее (если только они не подделают/украдут сертификат доступа вместе с файлами закрытого и открытого ключей, который создавался в ходе установки приложения или не загрузятся в безопасном режиме и удалят консоль восстановления вместе с деактивацией службы). Грамотное управление DeviceLock, которое облегчается максимально возможной интеграцией в Windows (полная поддержка Active Directory, групповых политик GPO, ODBC для базы данных и так далее) позволяют быстро развернуть требуемый уровень защиты. Купить DeviceLock можно у партнеров сети "1Софт".

Павел Шубин

Все права защищены. По вопросам использования статьи обращайтесь на 1csoft@1cnw.ru

Короткая ссылка на новость: http://un-ltd.ru/~ny0eI