гарда предприятие что это
Гарда Предприятие
Детали
Рейтинг
Сертификация
Лучшие аналоги
Помощь
Если Вам нужна помощь по данному продукту, Вы можете задать вопросы нашему эксперту
Гарда Предприятие используется для защиты от утечек информации, а также для обеспечения информационной безопасности компании. Сразу после запуска, не дожидаясь полного внедрения в сетевую инфраструктуру компании система начинает работу, анализирует и выявляет угрозы ИБ, это несомненный плюс.
Система Гарда Предприятие позволяет определить нелояльных сотрудников, защитить конфиденциальные данные компании от утечки. Определить какие действия выполнялись сотрудниками с информацией компании в любой момент времени. Программа способна контролировать зашифрованный трафик, трафик локальной сети, облачные системы, системы записи данных на рабочих станциях (USB-накопители, внешние жесткие диски и т.д.), а также анализировать активность работающих приложений.
Для анализа собираемых данных используется удобный поиск и система подготовки отчетов. Благодаря последней можно своевременно определять аномалии в трафике компании, выявлять каналы утечки данных, осуществлять контроль исполнения политик информационной безопасности.
Для крупных компаний также полезными будут функции контроля рабочего времени персонала, возможность просмотра и записи экрана рабочего стола, поиск на компьютерах сотрудников конфиденциальных данных и возможность блокировки их передачи.
МФИ Софт. DLP-система Гарда Предприятие
Обзор АПК «Гарда Предприятие» 2.1
Обзор посвящен аппаратно-программному комплексу «Гарда Предприятие». Он представлен известным российским разработчиком комплексных ИТ-решений, компанией «МФИ Софт». АПК «Гарда Предприятие» является высокопроизводительной DLP-системой, которая предназначена в первую очередь для средних и крупных компаний. Сегодня мы подробно рассмотрим ее функциональные возможности.
Сертификат AM Test Lab
Номер сертификата: 124
Дата выдачи: 14.10.2013
Срок действия: 14.10.2018
Введение
Важной особенностью рассматриваемого продукта является его специализация. На сегодняшний день DLP-система «Гарда Предприятие» остается одним из наиболее мощных решений, поскольку разработана специально для использования в крупных и средних компаниях. Решение обеспечивает очень высокую производительность, вплоть до 10 Гбит/с и выше. Кстати, в этом нет ничего удивительного. Дело в том, что разработчик АПК «Гарда Предприятие», «МФИ Софт», является известным на рынке производителем систем операторского уровня, в том числе, систем СОРМ и решений для защиты от DDoS-атак. И уж кому, как не специалистам этой компании, иметь большой опыт в области высокопроизводительных сетевых приложений.
Рассматриваемое решение работает с зеркалированным трафиком. То есть его установка «в разрыв» и работа в режиме фильтрации не рассматривается. С одной стороны, это снижает функциональные возможности системы. Однако нужно учитывать, что на практике в средних и крупных компаниях крайне редко используется именно фильтрация. В подавляющем большинстве случаев DLP-системы в них используются для «прослушивания» трафика, то есть для мониторинга утечек, расследования произошедших инцидентов, выявления нелояльных сотрудников и решения прочих типовых задач. Поэтому, отсутствие режима фильтрации в решении, строго говоря, нельзя считать серьезным недостатком.
Поставляется АПК «Гарда Предприятие» в виде готового аппаратно-программного комплекса, в состав которого входит сервер и установленное на него программное обеспечение. Такое решение удобно тем, что потребитель получает уже готовое к запуску решение, которое полностью удовлетворяет потребностям заказчика и позволяет провести его внедрение в кратчайшие сроки. Впрочем, если у потенциального клиента уже есть аппаратная платформа, продукт может быть продан и в виде программного обеспечения.
Архитектура АПК «Гарда Предприятие»
В состав АПК «Гарда Предприятие» входят следующие модули:
В системе может работать несколько анализаторов, которые будут собирать информацию в единой базе данных. Это позволяет построить высокопроизводительную, и распределенную систему защиты от утечек конфиденциальной информации.
Системные требования АПК «Гарда Предприятие»
АПК «Гарда Предприятие» поставляется как готовый аппаратно-программный комплекс, конфигурация которого рассчитана исходя из потребностей конкретного клиента. Поэтому приводить какие-то системные требования для серверных компонентов системы не имеет смысла.
Системные требования «Центра управления «Гарда Предприятие» приведены ниже:
Функциональные возможности АПК «Гарда Предприятие»
В АПК «Гарда Предприятие» реализованы следующие функциональные возможности.
Контроль сетевых каналов утечки информации
Работая в качестве шлюзового решения, АПК «Гарда Предприятие» может контролировать следующие каналы утечки конфиденциальной информации:
Контентная фильтрация на основе категорий
Контроль передачи зашифрованной информации
В рассматриваемом решении есть возможность включить в правилах контроль передачи зашифрованной информации. В этом случае, в отдельном сеансе будут перехватываться все защищенные данные: шифрованные потоки/туннели, архивы с паролем.
Персонифицированный отбор информации
В АПК «Гарда Предприятие» присутствует такой критерий анализа, как «Сотрудник». Благодаря ему администратор безопасности может ставить на контроль любые записи о конкретных сотрудниках и подразделениях и собирать относящуюся к ним информацию. Признаки «Сотрудника» определяются большим количеством параметров, например, учетной записью в Active Directory, IP- и MAC-адресом, одним или несколькими адресами электронной почты, UIN’ами, номерам VoIP и пр. И любая информация, удовлетворяющая перечисленным в свойствах сотрудника значениям, будет считаться относящейся непосредственно к нему. Это позволяет создавать правила, собирающие все данные о коммуникациях конкретных персон вне зависимости от того, за какими компьютерами они сидят и какими сервисами передачи информации пользуются.
Морфологические технологии
В рассматриваемой системе можно создавать правила отбора информации по ключевым словам и фразам с учетом словоформ, а также порядка слов и расстояния между словами.
Разные действия с собранной информацией
Администраторы безопасности могут выполнять разные действия с собранной информацией: осуществлять поиск в ней, устанавливать пометки, переносить в дополнительные папки для хранения и общего доступа, выгружать на диск и пр.
Контроль локальных каналов утечки информации
Под контролем понимается блокировка передачи информации, теневое копирование данных (как полностью, так и с учетом контентной фильтрации по ключевым словам, фразам, категориям) или просто ведение статистики.
«Черный» и «белый» списки устройств
В АПК «Гарда Предприятие» можно использовать «белый» список устройств, а также запретить подключение отдельных классов устройств (телефоны, фотокамеры, плееры и.т.п.).
Контроль запуска процессов на рабочих станциях
Рассматриваемое решение собирает статистику о процессах, запускаемых и завершаемых пользователями на рабочих станциях. Это позволяет выяснить, какие именно приложения и сколько времени использовались на компьютерах компании. Кроме этого, в системе реализована возможность блокировки запуска процессов по «черному списку».
Высокая производительность и масштабирование
АПК «Гарда Предприятие» может состоять из целого ряда анализаторов, имеющих общую базу данных. Это, в сумме с используемыми технологиями, позволяет рассматриваемому решению достичь очень высоких показателей производительности и контролировать сетевые каналы с общей пропускной способностью в 10 Гбит/с и даже выше. Также АПК «Гарда Предприятие» легко масштабируется путем добавления в систему новых анализаторов.
Выборочное сохранение информации
В отличие от многих DLP-решений, рассматриваемая система может сохранять как абсолютно весь трафик, так и только удовлетворяющий определенным требованиям трафик. Настройка фильтров может осуществляться в широких пределах по большому количеству параметров. Это обеспечивает высокую гибкость системы, позволяя администратору самому выбирать необходимые данные для хранения.
Интеграция с LDAP
Информация о подразделения и сотрудниках может быть автоматически синхронизирована непосредственно с каталогом LDAP, например, с Active Directory. Это позволяет загрузить в АПК «Гарда Предприятие» готовые данные и избежать работы по созданию записей о сотрудниках вручную. При этом осуществляется импорт данных как о сотрудниках, так и подразделениях предприятия.
Развертывание АПК «Гарда Предприятие»
Как мы уже говорили, АПК «Гарда Предприятие» поставляется в виде готового аппаратно-программного комплекса. Поэтому непосредственно установка серверной части не нужна. Достаточно разместить готовый сервер или сервера в стойке и обеспечить поступление зеркалированного трафика (например, со SPAN-порта маршрутизатора) на сетевой интерфейс анализатора.
Установка «Центра управления» также не представляет собой никакой сложности. Он инсталлируется самым обычным образом, как и любое другое программное обеспечение. Устанавливается «Центр управления» на компьютеры всех администраторов, доступ к системе осуществляется удаленно. Для его настройки достаточно ввести в параметры IP-адрес или хост центрального сервера и номер порта.
Рисунок 1. Параметры подключения «Центра управления» АПК «Гарда Предприятие»
После установки и первого подключения необходимо подключить к центральному серверу установленные анализаторы. Сделать это можно непосредственно в «Центре управления» на вкладке «Анализаторы». Для каждого анализатора необходимо указать его название, IP-адрес, используемые сетевые порты и дополнительные параметры. При необходимости анализаторы могут быть собраны в группы (для удобства управления) или кластеры (для увеличения производительности при мониторинге крупных сетей или их сегментов).
Рисунок 2. Параметры анализатора в «Центре управления» АПК «Гарда Предприятие»
Также в ходе развертывания нужно настроить права доступа к АПК «Гарда Предприятие». Для этого на вкладке «Пользователи» необходимо добавить нужных лиц, и с помощью соответствующих настроек указать их полномочия. Права разделены на следующие категории: права на доступ к функциям системы (управление анализаторами, пользователями, сеансами, и.т.п.), на доступ к данным в сеансах (удаление, просмотр, экспорт, редактирование списка критериев анализа и.т.д) и на работу с анализаторами (просмотр, настройка). С помощью комбинации различных прав возможно создание набора пользовательских ролей. Состав и характеристики каждой роли зависят от круга задач, решаемых различными группами пользователей.
Рисунок 3. Настройка прав доступа пользователя в «Центре управления» АПК «Гарда Предприятие»
Работа с АПК «Гарда Предприятие»
Работа с АПК «Гарда Предприятие» начинается с подготовки базы контентной фильтрации, а также создания базы сотрудников компании из LDAP или вручную. Решение первой задачи необходимо для того, чтобы система могла самостоятельно, анализируя перехватываемую информацию, относить ее к той или иной категории. Такой подход более удобен, нежели простой поиск по словарю, и обладает большими функциональными возможностями.
Не обязательно настраивать категории вручную. Значительно облегчить процесс заполнения базы контентной фильтрации может обучение системы. Процесс автокатегоризации информации – уникальная разработка «МФИ Софт», являющаяся альтернативой сервису контентной фильтрации по цифровым отпечаткам. Чтобы система смогла самостоятельно создавать новые категории, объединяющие те или иные документы, в нее загружают образцы типичных документов, соответствующих разным категориям (любые документы, обращающиеся в компании и явно относящиеся к той или иной категории). После этого запускается процедура машинного обучения, которая формирует набор новых категорий. В каждой категории задано всего одно условие – соответствие документов какой-либо общей тематике. Тематика определяется автоматически с помощью специального алгоритма. Впоследствии к этим критериям можно добавить дополнительные, сформировав тем самым готовую базу контентной фильтрации.
Рисунок 4. Автоматическое формирование базы контентной фильтрации в АПК «Гарда Предприятие»
Важной особенностью АПК «Гарда Предприятие» является возможность не просто решить, к какой категории относится анализируемая информации, но и автоматически выставить ей рейтинг секретности от 1 (минимальный) до 5 (максимальный). Делается это на основе баллов, указанных критериями отбора. Например, если перехваченные данные соответствуют критерию с рейтингом 4, то им присваивается этот же уровень. Если же информация соответствует сразу нескольким критериям, то ей присваивается максимальный уровень из них. Эти рейтинги используются в настройках сеансов (о них мы поговорим дальше).
Рисунок 5. Пример категории базы контентной фильтрации в АПК «Гарда Предприятие»
Для каждого подразделения в целом и пользователя отдельно можно задать права доступа к контролируемой информации. Речь идет об указании допустимых, с точки зрения безопасности, уровней передачи данных по той или иной тематике. Например, для сотрудников HR-отдела вполне естественно регулярное посещение сайтов по поиску работы и получение и отправка файлов с резюме. Но те же действия для бухгалтеров являются поводом серьезно задуматься. Наличие же уровней у критериев позволяет точнее настроить права. К примеру, всем бухгалтерам можно разрешить передачу договоров (и настроить соответствующий критерий на уровень 3). Но отправить налоговый отчет имеет право только главный бухгалтер (уровень 5).
Рисунок 6. Пример параметров сотрудника в АПК «Гарда Предприятие»
Таким образом, непосредственная работа с АПК «Гарда Предприятие» начинается с настройки сеансов – своего рода контейнеров, в которые помещается информация, обнаруженная на основе заданных критериев анализа. При необходимости, можно настроить сеансы таким образом, что будет перехватываться вся информация или только определенные инциденты, что может заметно уменьшить размер базы сохраняемых данных. Какой вариант выбрать? Это администратор безопасности решает самостоятельно, исходя из конкретных условий и поставленной задачи. Для выбора того или иного варианта достаточно просто поставить или снять «галочку» в настройках, поэтому при необходимости режим контроля можно быстро поменять.
Также при необходимости можно заполнить поле emails. Если внести в него один или несколько адресов электронной почты, то система будет автоматические отправлять на них уведомления о появлении информации, перехваченной в рамках данного сеанса. Это весьма актуально в тех случаях, когда сеанс настраивается именно на инциденты, то есть на факты явного нарушения корпоративных политик.
После ввода основной информации задаются параметры сбора информации. В первую очередь перечисляются типы перехватываемых данных. Это могут быть объекты и/или потоки. Под объектами понимают контроль протокола HTTP (отдельно GET, POST и других методов), почты, IM, передачи файлов, звонков по VoIP, использования социальных сетей и пр. Под потоками – декодируемые, зашифрованные и неизвестные потоки трафика. Для каждого контролируемого объекта или потока можно устанавливать способ мониторинга – полный или статистический. В первом случае в архиве сохраняется непосредственно информация, удовлетворяющая условия, а во втором – только сам факт ее передачи.
Рисунок 7. Основные свойства и перечень типов данных сеанса наблюдения в АПК «Гарда Предприятие»
Следующий шаг – ввод критериев анализа. Под критериями понимаются условия, при выполнении которых данные из общего потока сохраняются в архив. В системе предусмотрено 12 типов условий, начиная с простейших (IP- и MAC-адрес, адрес электронной почты и пр.) и заканчивая такими, как соответствие сотруднику, ключевой фразе (с учетом морфологии), категории документов. При этом администратору доступны такие логические операции, как проверка равенства, отрицание, логические «И» и «ИЛИ». Пример можно увидеть на иллюстрации. В данном сеансе собираются все, что касается поиска работы для всех сотрудников, кроме работников отдела кадров.
Рисунок 8. Критерии отбора информации сеанса наблюдения в АПК «Гарда Предприятие»
В завершении можно задать права доступа к создаваемому сеансу. Пользователям можно разрешать и запрещать просматривать, экспортировать и удалять информацию, редактировать свойства сеанса, ставить пометки и пр.
Рисунок 9. Права доступа к сеансу наблюдения в АПК «Гарда Предприятие»
При проведении служебного расследования просмотр данных, собранных в рамках сеансов наблюдения, осуществляется непосредственно в них. Для этого в свойствах сеанса есть целый ряд вкладок, которые позволяют просматривать сами данные отдельно по разным типам объектов (в том числе, можно прослушивать записи разговоров). При этом администратору безопасности доступны такие инструменты, как сортировка и фильтрация по всем полям, поиск по содержимому, установка пометок, перенос в папки (средство для хранения и общей работы с собранной информацией) и экспорт. Помимо этого, можно осуществлять поиск по базе, а также строить и просматривать статистические отчеты.
Рисунок 10. Просмотр информации, собранной в рамках сеанса наблюдения в АПК «Гарда Предприятие»
Контроль рабочих станций осуществляется в «Центре управления» на вкладке «Предприятие». Для этого на ней есть ветка «Рабочие места». В ней можно просмотреть свойства рабочих станций, на которых установлены программы-агенты – их наименование, IP-адрес и используемая политика. Здесь же можно изменить текущую политику на другую.
Рисунок 11. Просмотр свойств рабочей станции в АПК «Гарда Предприятие»
Также в данном разделе можно просмотреть журнал процессов.
Рисунок 12. Просмотр журнала процессов рабочей станции в АПК «Гарда Предприятие»
Используемые для мониторинга рабочих станций политики можно создавать самостоятельно. В политике можно разрешить или запретить передачу файлов через Skype, включить или отключить контроль процессов, выбрать одно из действий для каждого типа контролируемых устройств (USB, CD-ROM и т.п.): блокировать передачу, вести статистику, осуществлять теневое копирование, а также ограничить подключение к компьютеру любого выбранного класса устройств (веб-камеры, мобильные телефоны, фотоаппараты и.т.п.)
Рисунок 13. Создание политики контроля рабочих станций в АПК «Гарда Предприятие»
Таким образом осуществляется регулярная работа с АПК «Гарда Предприятие».
Выводы
АПК «Гарда Предприятие» – комплекс, рассчитанный на использование в средних и крупных организациях. Он обладает высокой производительностью, отличной масштабируемостью и достаточно простым и удобным интерфейсом управления. С его помощью можно контролировать практически все сетевые каналы утечки конфиденциальной информации, включая такие, как Skype, IP-телефония и пр. Кроме того, в рассматриваемом комплексе есть модуль для контроля рабочих станций и локальных каналов утечки.
При этом у рассмотренного продукта есть и недостатки. Самый главный из них – отсутствие некоторых инструментов для администраторов безопасности. В первую очередь речь идет о шаблонах (в каком бы то ни было виде). Стоит, впрочем, отметить, что разработчики обещают добавить этот функционал уже в следующей версии, которая, по их словам, ожидается уже в ноябре 2013 года.
Достоинства:
Недостатки:
DLP-СИСТЕМА «ГАРДА ПРЕДПРИЯТИЕ» — АКТИВНАЯ ЗАЩИТА ОТ УТЕЧЕК С КОНТЕНТНОЙ БЛОКИРОВКОЙ
В июне 2021 года вышла новая версия DLP-системы «Гарда Предприятие» российского разработчика систем информационной безопасности «Гарда Технологии» (входит в «ИКС Холдинг») с возможностью контентной блокировки по ключевым словам.
Реализована возможность блокировать передачу документа на основании его содержимого: заданных фраз (слов / словосочетаний / набора слов или словосочетаний, объединенных операторами поиска); определённого типа персональных данных; схожести этого документа с другими важными документами.
Новая версия «Гарда Предприятие» расширяет возможности активной защиты от утечек, основанной на глубоком анализе документов, хранящихся на рабочих местах сотрудников и корпоративных файловых серверах. Теперь система выносит вердикт по каждому документу о возможности его дальнейшего распространения на основании параметров политик контентной блокировки. При этом информация о вердиктах консолидируется в едином центре, что позволяет повысить оперативность принятия решений по документам на новых рабочих местах, если аналогичные документы уже были обнаружены ранее в других источниках.
Уделено внимание оптимизации распространения агентов рабочих мест – через сервис обновления, позволяющий устанавливать новые версии агентов на рабочие места без использования протокола SBM, который в некоторых компаниях может быть запрещен.
Теперь «Гарда Предприятие» может контролировать загрузку документов в облачные хранилища OneDrive, Dropbox, Google Drive, Яндекс.Диск через веб-браузеры.
Доработан агент под macOS – реализован контроль мессенджера Telegram, в частности, перехват текстовых сообщений и передачи файлов.
Обзор DLP-решения «Гарда Предприятие» 3.8
«Гарда Предприятие» — DLP-система, разработанная компанией МФИ Софт. На нашем сайте уже публиковался обзор предыдущей версии решения. В обновленном продукте переработан интерфейс управления и расширены функции контроля. В данной статье подробно рассматривается архитектура продукта, его функции и сценарии использования.
Сертификат AM Test Lab
Номер сертификата: 163
Дата выдачи: 23.05.2016
Срок действия: 23.05.2021
Введение
DLP-системы доказали свою актуальность и результативность в борьбе с утечками данных, поэтому с каждым годом их становится все больше. Только в России свыше пяти производителей DLPсистем, и у каждого из них свой подход к защите от утечек информации. Общий алгоритм работы любой DLP-системы основан на перехвате максимально возможных каналов утечки и поиска в передаваемой информации признаков конфиденциальности, но основные отличия DLP-систем кроются в изначальном векторе развития решений. В данном обзоре мы подробно рассмотрим DLP-систему «Гарда Предприятие» от компании МФИ Софт, производителя широкого спектра систем информационной безопасности и анализа трафика.
Эта DLP-система создавалась как решение, анализирующее большое количество протоколов в сетевом трафике на высоких скоростях. Ранее мы публиковали обзор одной из предыдущих версий продукта «Гарда Предприятие», с тех пор прошло более двух лет, и за это время он значительно изменился. МФИ Софт активно развивает свои продукты и следует всем современным тенденциям в вопросах оптимизации информационных технологий, поэтому новая версия «Гарды Предприятие» 3.8 не только предлагает расширенный набор функций и новые контролируемые каналы, но и полностью переработанный интерфейс администратора.
DLP-решение позиционируется как инструмент для ежедневной работы в крупных предприятиях. Упор в нем сделан на аналитической системе и контроле максимально возможного количества каналов утечки информации. «Гарда Предприятие» долго хранит все передаваемые данные и позволяет анализировать их в реальном времени с возможностью в любой момент восстановить полную картину передачи интересующей информации. Основное отличие продукта от конкурентов — собственное высокопроизводительное нереляционное хранилище для быстрой работы с большими массивами данных.
Архитектура и системные требования
«Гарда Предприятие» 3.8 может поставляться как в программном, так и в программно-аппаратном варианте, при этом программное решение может быть развернуто в среде виртуализации, что существенно снижает стоимость внедрения продукта.
Рисунок 1. DLP-система «Гарда Предприятие» в аппаратном исполнении
Комплекс решения поставляется на едином оборудовании. Для обзора мы условно разделили систему на такие модули:
В зависимости от инфраструктуры, технических возможностей и задач заказчика подключение сервера может производиться путем перенаправления копии всего сетевого трафика через SPAN-порт (mirror) коммутатора, либо в разрыве между коммутатором и остальной сетью с перенаправлением всего трафика через продукт.
Функциональные возможности
Функции «Гарды Предприятие» условно делятся на возможности, связанные с анализом, и возможности, реализуемые с помощью агента рабочих мест. В части анализа решение обеспечивает поддержку следующих сетевых протоколов:
В составе «Гарды Предприятие» присутствует собственный модуль проксирования шифрованных соединений, устанавливаемый в разрыв контролируемого канала передачи данных, благодаря чему обеспечивается разбор и анализ зашифрованных протоколов, например HTTPS.
Поддерживается анализ содержимого в файлах следующих форматов:
Кроме того, в системе анализа и поиска информации реализован механизм защиты от преобразования данных, то есть внедрения одного формата в другой. Например, если сотрудник попытается переименовать Word-файл в формат изображения, «Гарда Предприятие» обнаружит этот факт.
В решении заложены разнообразные технологии анализа для повышения точности выявления нарушений:
Устанавливать, удалять и диагностировать агентов можно в режиме реального времени из единого интерфейса, без использования каких-либо дополнительных консолей. С помощью имеющихся в системе шаблонов они настраиваются как на отдельные рабочие места, так и на группы мест (и даже отделы или департаменты). Для дополнительного обеспечения безопасности шифруются соединения между агентами и серверной частью «Гарды Предприятие».
Работа с продуктом
Подключение к «Гарде Предприятие» осуществляется через веб-интерфейс с помощью обычного браузера. Система не использует плагины и расширения браузеров, поэтому работа с интерфейсом может выполняться с любого устройства — компьютера, планшета или смартфона. Доступ к управлению осуществляется по протоколам HTTP или HTTPS.
Рисунок 2. Окно аутентификации веб-интерфейса «Гарды Предприятие»
Система разрабатывалась с учетом интересов не только офицеров службы безопасности, но и руководителей предприятий и HR-специалистов. Ролевая модель доступа позволяет выделить различные права доступа:
После прохождения аутентификации открывается главное окно, которое отображает общую статистику о передаваемой в компании информации, статистику инцидентов, топ сотрудников по использованию определенных программ или документов и другую информацию. Подобная рабочая область позволяет визуализировать необходимую для ежедневной работы информацию в режиме реального времени. Виджеты главного экрана можно заменять или перекомпоновывать на усмотрение пользователя.
Рисунок 3. Главный экран с настраиваемыми отчетами в DLP-системе «Гарда Предприятие»
Все виджеты отчетов интерактивные: при выборе на диаграмме какого-либо из параметров (мессенджеры, почта и т. д.) осуществляется переход к просмотру внутренних сообщений и диалогов. А если выбрать конкретную фамилию в списке сотрудников, можно увидеть детализацию — что именно и через какие каналы передавал работник.
Графики поступления данных отображают не только объем поступившей информации, но и количество объектов (письма, сообщения и т. д.). График помогает убедиться в отсутствии сбоев в сети и выявлять различные аномалии. Например, факт передачи большого количества объектов небольшого объема может свидетельствовать о попытке DDoS-атаки. Таким образом, в системе реализована визуализация передаваемой информации в организации по самым разным параметрам в режиме реального времени.
Управление политиками
Политики безопасности «Гарды Предприятие» представляют собой набор правил поиска информации, передаче которой нужно уделить особое внимание. Чтобы выявлять конфиденциальную информацию, используются современные технологии контроля и анализа данных, перечисленные в разделе функциональных возможностей.
В окне управления политиками отображается список заданных в системе правил и статистика по нарушениям — динамика инцидентов, график наиболее часто срабатывающих политик, список инцидентов по сотрудникам и перечень используемых каналов нарушений. В продукте также реализован набор предустановленных политик — контроль персональных данных, ИНН, кредитных карт и другие.
Перед созданием новой политики можно проверить ее работоспособность на архиве собранных данных — система проведет ретроспективный анализ и покажет инциденты, произошедшие до формирования нового правила.
Рисунок 4. Регулирование политик безопасности в режиме реального времени в «Гарде Предприятие»
Каждая политика состоит из следующих параметров:
Политиками можно управлять произвольно — добавлять новые, редактировать существующие, удалять и временно отключать их действие. По каждой политике можно просмотреть нарушения. В списке срабатываний политики отображается полная информация по инциденту — имя сотрудника, канал передачи данных, переданная информация, дата и время нарушения. При желании администратор может сразу же перейти к подробным данным, загрузить переданное сообщение или файлы, а также получить информацию по другим инцидентам пользователя и всей его активности.
Для блокировки передачи конфиденциальных данных в «Гарде Предприятие» реализован специальный тип политики. С помощью нее можно промаркировать конфиденциальные документы, расположенные в сетевых папках общего доступа, и запретить их передачу — либо полностью, либо по конкретным каналам. Документы можно группировать как по уровню секретности, так и по организационной структуре — например, документы бухгалтерии. С помощью этой политики можно промаркировать шаблон и заблокировать все попытки передачи подобных документов.
Рисунок 5. Блокировка утечек чувствительной информации в «Гарде Предприятие»
Управление сотрудниками
Список сотрудников в «Гарде Предприятие» автоматически загружается из LDAP-каталога (включая Active Directory) с сохранением структуры и подчинения — группировка и распределение по организационным подразделениям. При изменениях в LDAP-каталоге система синхронизирует данные и оперативно обновляет их в своей базе. На основании полученных из LDAP данных в продукте создаются личные карточки на каждого сотрудника, содержащие фотографию, должность, информацию о его рабочем месте, о доменной учетной записи, адрес электронной почты, номер телефона и другие данные. Также в карточку автоматически добавляются учетные записи в сторонних сервисах (почтовые адреса, идентификаторы в мессенджерах, аккаунты социальных сетей), которые использовались сотрудником данных сервисов в рабочее время. Внести недостающие сведения в любую карточку можно и вручную.
Рисунок 6. Персональная карточка сотрудника в «Гарде Предприятие»
При выборе одного сотрудника в интерфейсе в рабочей области отображаются различные данные по его активности:
Толщина линий на графе отражает интенсивность и объемы переданной информации между контактами. При отображении графа связей можно выбрать период времени для контроля, ограничить вывод внешних или внутренних связей, а также производить интерактивную загрузку дополнительных связей.
Рисунок 7. Карта взаимосвязей сотрудника по всем каналам коммуникаций за определенный период времени в «Гарде Предприятие»
Определить, какого рода эти связи, можно по толщине и цвету линий. При выборе линии происходит интерактивная загрузка дополнительных связей, что позволяет выстроить схему коммуникаций как одного конкретного сотрудника, так и группы (довольно часто встречаются общие контакты, когда два сотрудника не общаются между собой напрямую, но вместе связаны с третьим лицом). К этой же схеме возможно добавление другого сотрудника, если вдруг возникнут подозрения, что с какими-либо контактами из данной схемы он может общаться. Просмотр осуществляется простым переносом контакта данного сотрудника на схему. В таком случае она перестраивается в режиме реального времени.
Рисунок 8. Взаимосвязи между сотрудниками в DLP-системе «Гарда Предприятие»
Кроме отслеживания связей, «Гарда Предприятие» собирает статистику по использованию приложений на компьютерах пользователей, что позволяет отобразить перечень приложений и время их активности. При этом учитывается не время запуска и остановки приложения, а количество времени, когда приложение было активно — то есть находилось в фокусе и использовалось сотрудником. Данная возможность может быть использована отделом по работе с персоналом для контроля эффективности работы сотрудников.
Рисунок 9. Контроль рабочего времени сотрудников в «Гарде Предприятие»
На основе этих данных решение строит статистику рабочего дня как конкретного сотрудника, так и целого отдела. Информация выводится в виде графика с данными о входе и выходе из системы, общем и активном времени работы. Все элементы статистики также интерактивны: можно проверить, какие именно приложения сотрудник использовал в данный отрезок времени.
Рисунок 10. Интерактивная статистика рабочего дня в «Гарде Предприятие»
Кроме того, продукт собирает информацию о посещаемых веб-адресах, количеству посещений и объему переданной и полученной информации и позволяет делать снимки экрана (скриншоты).
Рисунок 11. Скриншоты экрана с компьютера сотрудника в «Гарде Предприятие»
Всю полученную информацию за любой срок по любым сотрудникам сразу же можно вывести в наглядный отчет в форматах PDF, CSV (Excel) или HTML с прикрепленными файлами.
Поиск переданной информации
Поиск переданной информации осуществляется по различным наборам параметров и критериев. Указание параметров поиска выполняется так же, как и создание политик. Более того, создание политик безопасности возможно не только из раздела политик, но и из раздела поиска информации. Фактически политики — это шаблоны поиска с автоматическим обнаружением, то есть любой поисковый запрос может быть преобразован в политику безопасности. Единственное отличие политик от поиска — наличие временного ограничения, так как поиск является динамическим запросом от администратора, а политика срабатывает в режиме реального времени.
Вариативность поисковых запросов системы «Гарда Предприятие» упрощает нахождение нужной информации. Например, при использовании ключевых слов ищутся факты передачи данных с учетом морфологии сразу по всем каналам. При вводе ключевых слов и фраз можно пользоваться дополнительными символами и операторами, такими как «*», «?», «!», «OR» и «AND». Можно ограничить промежуток времени для поиска, указать отправителя или получателя данных, в качестве которых могут выступать сотрудники (для этого достаточно выбрать нужных сотрудников из списка), либо почтовые адреса, идентификаторы социальных сетей, мессенджеров и IP-адреса.
Рисунок 12. Поиск по ключевым словам в «Гарде Предприятие»
Найденные данные отображаются в виде списка или карточек с возможностью предпросмотра содержимого — переданного сообщения, посещенной страницы и т. д. Результаты поиска могут быть экспортированы в виде PDF-отчета или CSV-файла для дальнейшей обработки или передачи заинтересованным лицам.
В разделе «Поиска» также размещается инструмент для проведения расследований инцидентов — карта распространения документов.
Рисунок 13. Карта распространения документов в DLP-системе «Гарда Предприятие»
Пользователь может загрузить в систему документ и получить отчет о передаче этого файла как внутри компании, так и наружу. Наглядно можно проследить, каким образом документ распространялся на предприятии: кто из сотрудников и когда его передавал, кто распечатывал, а кто просто вносил какие-то изменения. Таким образом, в случае утечки какого-либо важного документа можно сразу определить, как она произошла.
Отчеты
Система отчетности «Гарды Предприятие» позволяет не только визуализировать нарушения политик безопасности, но и прогнозировать потенциальные каналы утечек информации, выявлять аномалии в информационном пространстве. В решении есть возможность создавать собственные шаблоны отчетов по различным срезам информации. Можно сформировать отчеты, например, по распечатанным документам или файлам, скопированным на внешние носители. При этом любой отчет можно просматривать в виде круговой или столбчатой диаграммы, а также списком.
В продукте встроен ряд предустановленных отчетов:
Рисунок 14. Отчеты по популярным действиям сотрудников в DLP-системе «Гарда Предприятие»
Отчеты могут быть построены по произвольному промежутку времени и сохранены в форматах CSV и PDF. Виджет любого отчета можно вынести на главную страницу, чтобы всегда контролировать интересующую информацию.
Выводы
«Гарда Предприятие» — DLP-система с простым и понятным интерфейсом, легким в освоении. Архитектура решения не требует сложной перенастройки существующей сетевой инфраструктуры, а поддержка интеграции с Active Directory упрощает развертывание и настройку. Благодаря этому внедрение и использование данной DLP-системы осуществляется в короткие сроки и без дополнительных финансовых затрат. По данным МФИ Софт, среднее время ввода системы в эксплуатацию, учитывая внедрение и освоение продукта сотрудниками компании, не превышает трех дней.
«Гарда Предприятие» обладает большим набором функций и обеспечивает полный контроль всей локальной сети, компьютеров пользователей и передаваемых наружу данных. Наличие сложных механизмов анализа — лингвистического модуля, распознавания изображений и контроля маскировки данных, обеспечивает высокий уровень детектирования информации и с высокой степенью надежности не позволяет выполнить обход DLP-системы стандартными методами.
«Гарда Предприятие» подойдет для инфраструктуры любых размеров, от небольших компаний до распределенных филиальных сетей. За счет статистических отчетов, графиков связей сотрудников и инновационной системы хранения работа продукта в большой организации не будет связана с проблемами, присущими обработке большого объема данных. Восстановить полную картину приема/передачи информации и построить схемы коммуникаций в режиме реального времени не составит труда.
Достоинства:
Недостатки: