2.6 Для всех пользователей запрещены все USB-устройства, исключая клавиатуры и мыши

DeviceLock > DeviceLock Service(…) > Devices > Permissions > USB port

Users: Все - в данном случае доступ ограничен всем пользователям

User's Rights - права пользователей для данного типа у-в (USB ports):

Read - разрешает чтение данных с устройства.

Write - разрешает запись данных на устройство.

Format - разрешает форматирование и другие действия, для которых необходим прямой доступ к устройству.

Eject - разрешает извлечение сменного носителя из устройства.



(Можно ограничить доступ определенному пользователю - Администратор)

Security Settings - это дополнительные настройки безопасности влияют на установленные разрешения и правила аудита для некоторых типов устройств.

Access control for USB HID - если настройка включена, то DeviceLock Service может контролировать и протоколировать доступ к устройствам ввода (клавиатура, мышь), подключенным к USB-портам. Если настройка отключена, то эти устройства продолжат работу в обычном режиме, и аудит для них также будет отключен.

Настройка вывода сообщений при подключении у-ва:

DeviceLock > DeviceLock Service(…) > Service Options > USB/FireWire blocked message



При подключении флешки, вылезает сообщение, о том что у вас нет доступа к ADATA UFD, при попытке открыть флешку показывается “Нет доступа к E:\”.

2.7 Для всех пользователей запрещены все USB-устройства

Исключая клавиатуры и мыши, но можно использовать определенную модель USB-флешки:

Для этого необходимо настроить White List:

DeviceLock > DeviceLock Service(…) > Devices > Permissions > USB port

Белый список устройств позволяет разрешать использовать только конкретные устройства, которые не будут заблокированы вне зависимости от остальных установок. В верхней части диалога в списке USB Devices Database устройства, добавленные в базу данных.



Для зап. у-ва в Devices можно активировать следующие опции:

Если установлен флажок Read-only, то на устройство хранения из белого списка

разрешен доступ только на чтение. Если это устройство не поддерживает доступ только на чтение, то доступ будет полностью заблокирован.

Чтобы включить аудит, теневое копирование и тревожные оповещения для устройства из белого списка на уровне типа с учетом настроек, заданных в Auditing, Shadowing & Alerts (для всех типов, к которым относится это устройство), нужно установить флажок Allow Audit & Shadowing as Type.

Если есть необходимость переинициализировать (переподключить) устройство в момент входа пользователя в систему, нужно установить флажок Reinitialize.

Рекомендуется снимать флажок Reinitialize для устройств хранения (таких как флэшнакопители, оптические приводы, внешние жесткие диски и т.п.).Некоторые устройства вообще не могут быть переинициализированы из DeviceLock Service. Это означает, что драйвера этих устройств не поддерживают программно переподключение. Если такое устройство было добавлено в белый список, но доступ к нему не предоставляется, пользователь должен вручную переподключить его.

Чтобы добавить у-во в базу данных нажимаем на USB Devices Database, открывается список подключенных у-в, выбираем нужное и добавляем в базу:

В данном случае всем пользователям разрешен доступ к “Запоминающему у-ву для USB”

Другие запоминающие у-ва не открываются.



Глава 3

Работу выполнил Золотарев Никита

3.1 SecureTower Cистема защиты информации от утечки

Система защиты информации SecureTower, созданная для обеспечения информационной безопасности компании представляет собой программный продукт, решающий две основные задачи: защита информации от утечки, а также анализ эффективности работы персонала.

Вышеуказанный многофункциональный инструментарий позволяет контролировать потоки данных в компании на новом, более эффективном уровне: такой подход не только предотвращает утечку информации в компании, но и способен сделать работу предприятия более качественной. Контроль персонала представляет собой средство, позволяющее повысить производительность работы сотрудников, а также во многом упростить постановку задач и работу менеджеров по персоналу.

Система защиты информации SecureTower содержит в себе функционал программы контроля над сотрудниками, включающий в себя перехват сетевого трафика, мониторинг работы, контроль рабочего времени сотрудников, перехват переписки, включая перехват Skype, ICQ, MSN и других мессенджеров.

SecureTower осуществляет контроль персонала незаметно и не влияет на производительность компьютера. На основе перехваченных данных программа формирует подробную статистику по всем приложениям, с которыми работал сотрудник. Вся собранная информация представлена в виде динамических отчетов, графиков и наглядных диаграмм. Также SecureTower позволяет делать снимки экрана, формировать комплексные отчеты по сетевой активности сотрудников, что помогает объективно оценить все процессы, происходящие в компании.

Параллельно с широким арсеналом средств для контроля персонала SecureTowerявляется полнофункциональным DLP решением, позволяющим в ретроспективе расследовать инциденты и препятствовать возникновению новых.

3.2 Типы контролируемых данных

· электронные письма почтовых клиентов, использующих протоколы POP3, SMTP, IMAP, MAPI (например, MS Outlook, Thunderbird, The Bat!), электронная почта, защищенная по стандарту S/MIME, электронные сообщения MS Exchange Server, IBM Lotus Notes/Domino, Kerio Connect, Sendmail, hMailServer и многих других;

· веб-трафик, включая электронные письма внешних почтовых служб (gmail.com, mail.ru, rambler.ru и т.д.), сообщения на форумах и в блогах, трафик в социальных сетях и других веб-службах;

· почтовые сообщения, отправляемые и получаемые при помощи облачного сервиса Microsoft Office 365;

· сообщения в мессенджерах, использующих протоколы обмена мгновенными сообщениями OSCAR (ICQ/AIM), MMP (Mail.Ru Агент), MSN (Windows Messenger), XMPP (Jabber) (Miranda, Google Talk, QIP Infium, PSI), YIM (Yahoo! Messenger), SIP, а также текстовые и голосовые сообщения в Skype, Viber, MS Lync;

· файлы, передаваемые по протоколам FTP, FTPS, HTTP и HTTPS, а также в программах-мессенджерах (ICQ, Windows Messenger и т.д.) или по электронной почте в качестве вложений;

· HTTP- и HTTPS-трафик по протоколу ICAP с корпоративного прокси-сервера;

· SSL-трафик, передаваемый по шифрованным протоколам (включая HTTPS, FTPS, защищённые протоколы SSL для POP3, SMTP и мессенджеров);

· содержимое баз данных MS SQL Server, Oracle, PostgreSQL, SQLite, MySQL;

· данные, передаваемые на внешние устройства (USB-накопители, WiFi-и GPRS-модемы, внешние жесткие диски и др.);

· информация, отправляемая на сетевые диски пользовательских компьютеров и терминальных серверов;

· данные, отправляемые на печать на локальные и сетевые принтеры;

· регистрация нажатий клавиш на клавиатуре (кейлогер);

· IP-телефония (текстовые и голосовые сообщения, передаваемые по протоколу SIP);

· любая текстовая и числовая информация, копируемая в буфер обмена;

· запись с микрофонов, как встроенных, так и подключенных к рабочим станциям;

· распознавание конфиденциальной текстовой и числовой информации на изображениях.

3.3 10 преимуществ системы SecureTower SecureTower - программный комплекс для защиты информации от утечек

Простота установки и настройки

В отличие от других DLP-решений, развертывание системы SecureTower не требует больших временных затрат. Система устанавливается и настраивается централизованно из одной консоли. При этом для развертывания программного продукта не надо вызывать многочисленных специалистов и дополнительно оплачивать услуги по внедрению и консалтингу.

Эффективная работа продукта сразу после установки

Система SecureTower готова к работе сразу же после установки. Информация начинает собираться и обрабатываться на соответствие предустановленным правилам безопасности сразу же после запуска продукта. При необходимости, предусмотрена возможность внесения изменений в базовые правила, а также создания новых в соответствии с политикой безопасности компании.

Невысокая совокупная стоимость владения системой

Отсутствие огромных сопутствующих затрат на внедрение и консалтинг делают совокупную стоимость владения системой невысокой. Установка SecureTower не требует внесения изменений в инфраструктуру сети, а также покупки какого-либо дополнительного дорогостоящего оборудования.

Простота использования

Для работы с SecureTower не требуются специфичные технические знания или дополнительное обучение. Использовать решение с легкостью могут как специалисты в области информационных технологий или информационной безопасности, так и управляющий персонал.

Обеспечение экономической безопасности компании и управление рисками

Функционал системы SecureTower позволяет обеспечить экономическую иинформационную безопасность и управлять операционными и репутационными рисками компании. В SecureTower содержится арсенал средств, позволяющий выявить случаи нецелевого использования персоналом рабочего времени и корпоративных ресурсов, наладить бизнес-процессы внутри организации, а также отследить негативные тенденции, способные навредить имиджу компании.



Удобное средство для контроля персонала

В SecureTower, традиционный функционал DLP расширен инструментами, обеспечивающими контроль над сотрудниками на рабочих местах. Система формирует фотографию рабочего дня, которая в деталях отображает всю сетевую активность работника. Благодаря данному инструменту можно не только работать на упреждение внутренних угроз, но также производить оценку лояльности сотрудников и социального климата в коллективе.

Интерактивные отчеты с визуализацией

В SecureTower реализована функция сбора статистики о сетевой активности сотрудников. Для большей наглядности все собранные данные могут быть представлены в виде интерактивных графиков и схем. Все это в значительной степени облегчает работу по выявлению инцидентов нарушения политик безопасности компании. Также в системе предусмотрена функция экспорта необходимой информации в формате .doc или .rtf, что оптимизирует процедуру создания отчетов.

Контроль всех основных каналов потенциальной утечки данных

Система SecureTower перехватывает весь входящий и исходящий трафик, что позволяет обеспечитьконтроль максимально возможного количества каналов коммуникации и тем самым свести к минимуму риск потенциальной утечки информации. При этом список контролируемых каналов постоянно обновляется и расширяется.

Ведение архива бизнес-коммуникаций

Система SecureTower позволяет вести упорядоченный архив внутрикорпоративных коммуникаций в рамках бизнес-процессов. Обратившись к архиву, можно в любой момент просмотреть историю общения абонентов.

Бесплатная полнофункциональная триал-версия

Компания Falcongaze бесплатно предоставляет всем заинтересованным организациям полнофункциональную триал-версию системы SecureTower. Уже на стадии использования тестовой версии клиенты при минимальных трудозатратах смогут оценить богатство и удобство системы SecureTower, а также убедится в ее эффективности при защите от внутренних угроз и обеспечении экономической безопасности компании.

3.4 Часто задаваемые вопросы

Что такое SecureTower?

SecureTower - это разработка российской компании Falcongaze, которая представляет собой программный продукт, позволяющий предотвращать утечки корпоративных данных и обладающий целым арсеналом средств для анализа эффективности деятельности персонала. SecureTower способствует реализации комплексного подхода к обеспечению защиты конфиденциальной информации и является мощным инструментом управления репутационными, операционными и даже правовыми рисками. Это позволяет оптимизировать бизнес-процессы в компании и обеспечить ее экономическую и информационную безопасность.

SecureTower - это программный или аппаратный продукт?

SecureTower является полностью программным продуктом, который можно установить на выделенный сервер или виртуальную машину под управлением ОС Windows. Стоит отметить, что в программе реализована возможность перехвата данных несколькими способами и при использовании централизованного способа необходимо наличие в сети коммутатора с возможностью зеркалирования трафика в отдельный порт. При использовании перехвата с помощью агентов, с ящика журналирования или прокси-сервера с поддержкой ICAP такая необходимость отсутствует.

Поддерживает ли система SecureTower ОС Linux/Mac OS?

Компоненты SecureTower могут устанавливаться только на операционные системы семейства Microsoft Windows. Это касается не только серверных компонентов, но и агентов, которые предназначены для контроля и анализа данных. В будущем не исключено появление отдельных компонентов SecureTower для Unix/Linux и Mac OS. При этом перехват информации с устройств под управлением операционных систем, отличных от Windows (IOS, Android, Unix/Linux, Mac OS и т.д.), возможен при использовании централизованного способа, когда весь трафик с этих устройств зеркалируется в отдельный span-порт коммутатора, откуда попадает на сервер с SecureTower. В этом случае контролю подлежит только нешифрованный трафик.

Способна ли SecureTower блокировать отправку файлов на внешние устройства?

Да, SecureTower позволяет блокировать передачу файлов на внешние устройства. При этом можно назначать пользователей, которые не смогут копировать данные на внешние носители, определять «запрещенные» расширения файлов и типы устройств.

Может ли система SecureTower работать, если офисы компании расположены в разных городах / регионах / странах?

Да, SecureTower поддерживает работу в компаниях с территориально распределенной структурой офисов. Программа позволяет контролировать различные каналы связи, а также осуществлять мониторинг деятельности сотрудников, используя удаленный доступ к нескольким ресурсам или объединяя все анализируемые данные в единое централизованное хранилище.

Влияют ли агенты SecureTower на производительность рабочих станций, на которые они установлены?

Агенты SecureTower не оказывают существенного влияния на производительность и скорость работы компьютеров сотрудников, не мешая выполнению должностных обязанностей персонала. Размер программы-агента составляет всего 15-20 МБ.

Влияет ли SecureTower на пропускную способность и производительность работы в сети?

SecureTower практически не влияет на сеть и не мешает работе других сетевых приложений. Все перехваченные данные поступают на сервер в небольших объемах и с определенной периодичностью, что позволяет равномерно распределять нагрузку на сеть. Для каналов с небольшой пропускной способностью предусмотрена возможность ограничения скорости передачи данных, которую могут использовать агенты, чтобы отправлять перехваченную информацию на сервер.

Какие базы данных поддерживает SecureTower?

SecureTower поддерживает как платные базы данных - MS SQL Server и Oracle, нередко используемые крупными компаниями, - так и бесплатные: PostgreSQL, MySQL и SQLite, которые являются подходящими решениями для представителей малого и среднего бизнеса. При этом в программе реализована встроенная поддержка SQLite, которая позволяет быстро приступить к тестированиюSecureTower, не устанавливая сторонние базы данных.

Сколько дискового пространства требуется для хранения базы данных?

При расчете дискового пространства следует исходить из формулы 1,5 ГБ данных на 1 пользователя в месяц. Например: 1,5 ГБ * 100 пользователей * 6 месяцев = 900 ГБ. Именно столько свободного дискового пространства понадобится, чтобы хранить информацию от 100 пользователей, перехваченную за 6 месяцев. Суммарные объемы дискового пространства, необходимые для хранения базы данных, зависят от специфики каждой отдельной компании.

Можно ли настроить автоматическую очистку базы данных?

Да, при настройке индексирования перехваченной информации в SecureTowerможно задать периодичность очистки базы данных. По умолчанию срок хранения информации установлен на промежутке в 30 дней - то есть данные старше 30 дней будут автоматически удаляться.



По какому принципу лицензируется программа?

SecureTower лицензируется как помодульно, так и по количеству контролируемых пользователей. Минимальная лицензия включает в себя возможность перехвата данных от 25 пользователей по всем каналам связи и протоколам. При покупкеSecureTower можно свободно варьировать количество контролируемых протоколов и пользователей в лицензии.

Как SecureTower определяет, что пересылается конфиденциальный документ?

Технологии, используемые в SecureTower для анализа данных, сводят к минимуму ложные срабатывания системы на инциденты, связанные с нарушениями принятой в компании политики безопасности. Программа может проверять пересылаемые в сети документы по их атрибутам и содержанию, используя предварительно указанные ключевые слова с учетом морфологии. SecureTower также может проводить анализ на основании регулярных выражений для обнаружения отправки данных определенного вида, например, номера паспорта или кредитной карты. Кроме того, в программе используется технология цифровых отпечатков, которая работает следующим образом: система создает цифровые образы конфиденциальных документов, сохраняет их в базе данных, а затем сравнивает с каждым документом, пересылаемым в корпоративной сети. При любых совпадениях SecureTowerотправляет уведомления о пересылке конфиденциального документа. Система также может делать цифровые отпечатки целых баз данных. Более того, пересылка конфиденциального документа или базы по электронной почте может быть заблокирована.

Перехватывает ли SecureTower зашифрованные данные?

Да, система перехватывает и анализирует информацию, передаваемую по защищенным протоколам, использующим SSL/TLS-шифрование (HTTPS, FTPS, шифрованные протоколы почты и мессенджеров). В случае если в сети пересылается зашифрованный объект (например, защищенный паролем архив), система перехватит его и отправит уведомление об обнаружении таких данных. В программе есть инструмент, называемый keylogger (кейлогер), который регистрирует все нажатия клавиш на клавиатуре пользователей, что может оказать помощь в выявлении содержимого зашифрованных документов.

Можно ли при помощи SecureTower блокировать сообщения, передаваемые по электронной почте?

Да, в SecureTower реализована возможность блокирования отправляемых пользователями сообщений по электронной почте, включая те, которые передаются по защищенным протоколам.

Как работает технология цифровых отпечатков баз данных?

Уникальный инструментарий программы позволяет отслеживать в информационных потоках определенные данные из имеющихся баз: например можно настроить систему таким образом, чтобы она срабатывала на пересылку комбинации имени, должности и адреса электронной почты. Причем в данном случае система оповещений об угрозе будет срабатывать только на указанное сочетание и игнорировать упоминание лишь имени, что позволит свести к минимуму количество ложных срабатываний. Технология цифровых отпечатков баз данных в SecureTowerадаптирована под специфику деятельности различных компаний и позволяет настроить ее в соответствии с конкретными нуждами той или иной организации.

Как быстро система SecureTower обрабатывает информацию в базах данных?

SecureTower оптимизирована для работы с большими и динамически обновляющимися объемами информации. При обновлении базы индексируются только новые данные, без лишних временных и ресурсных затрат на индексирование всей информации. Это особенно актуально для крупных компаний, ведущих внушительные по объемам клиентские или абонентские базы. По умолчанию информация в базе данных обрабатывается каждые 30 минут, это время можно настраивать самостоятельно.



Совместима ли система SecureTower с Active Directory? (AD)

Да. SecureTower полностью синхронизируется с Active Directory и позволяет использовать такие возможности, как:

· автоматическое создание карточек пользователей при получении серверомSecureTower информации от агента с перехваченными данными по этому пользователю;

· возможность установки агентов и создавать для них профили настроек с учётом конкретных подразделений из Active Directory;

· возможность указать SecureTower с какими доменами программа может работать, а какие ему стоит игнорировать;

· автоматическое обновление карточек в SecureTower, если в AD произошли изменения.

Обязательно ли интегрировать SecureTower с Active Directory?

Нет, такую интеграцию можно не делать. Наличие Active Directory предоставляет лишь дополнительные возможности и помогает автоматизировать некоторые процессы, например, такие, как создание карточек пользователей. При наличии AD это происходит автоматически, в то время как в сетях с рабочей группой это нужно делать вручную.

Может ли SecureTower блокировать порты?

При помощи SecureTower можно блокировать порты, используемые протоколами HTTP, HTTPS и SMTP (25, 80, 443, 8080). В случае необходимости блокировать более широкий диапазон портов, следует воспользоваться средствами встроенного брандмауэра Windows или решениями сторонних производителей.

Можно ли установить SecureTower в сеть, не извещая об этом системного администратора?

Для установки SecureTower необходимо наличие прав администратора на локальном сервере, а также на удаленных компьютерах, куда будут установлены агенты. Если такие права есть, то системного администратора уведомлять не нужно. Благодаря этому специалисты отдела информационной безопасности имеют возможность контролировать деятельность всех сотрудников, в том числе и системных администраторов, на предмет соблюдения корпоративной политики.

Можно ли конвертировать голосовые сообщения в текст и осуществлять поиск по ним?

Нет, такой возможности нет. Все перехваченные голосовые сообщения и звонки пользователей хранятся в формате mp3, поэтому их можно прослушать в клиентской консоли SecureTower или c помощью сторонних музыкальных проигрывателей (Windows Media player, AIMP! и т.д.).

Можно ли при помощи SecureTower контролировать данные, передаваемые посредством SIP-телефонии?

Да, в SecureTower реализована возможность контролировать информацию, передаваемую при помощи протокола SIP, будь то голосовые или текстовые сообщения.

3.5 Лицензии и сертификат

Как видно из скриншотов, компания обладает лицензией:



Сертификация по классу защиты:

3.6 Начало практической работы

Установка dlp-системы Secure Tower компании FalconeGaze:

Как мы видим установка возможна на 2ух языках



Стандартные установочные действия

Лицензионное Соглашение:



Возможность установить в заданный каталог:

Множество вариантов инсталяции:

Выбрав пункт полной установки, предложат изменить название ярлыка, и начнется установка

Настройка безопасности:

После финального этапа установки можно приступать к настройке политики безопасности.

Вот так выглядит интерфейс системы:

Теперь создадим особую группу пользователей и назовем её продавцы.

Есть группа с ограниченными правами доступа, но в ней нету пользователей - не проблема: с помощью кнопки Добавить в группу->Пользователи, добавим иван, иван2, иван3

Получаем группу пользователей с ограниченными правами даём им названия учетных записей с соответствующими именами, и устанавливаем обязательство сменить пароль при заходе в учетную запись

Можно для каждого пользователя изменить группу в которой он состоит.

Добавим запись иван к группе Administrator, тем самым дадим все права администратора

Для защиты от утечки данных настроим фильтрацию по ключевым словам для протокола HTTP

С помощью агента SecureTower, я закрыл возможность копировать файлы на флеш накопитель со следующим расширением.

При попытке переместить файл на накопитель выдаёт следующее сообщение



Заключение

Вывод по DLP Zlock: Картошкин Виктор ставил задачу, подробнее разобраться в DLP системах. Мной была выбрана программа Zlock. Эта программа помогла мне подробнее разобраться в возможных способах защиты от утечки информации. С помощью этой программы я ограничил доступ USB-носителей к USB-портам. Задача была выполнена.

Вывод по DLP DeviceLock:

Солодовников Эдуард, научился настраивать DLP систему DeviceLock и работать с ней. Я научился ограничивать доступ или назначать определенные права, одному или нескольким пользователям, к USB портам, а так же блокировать доступ определенным или всем USB устройствам, выводить на экран оповещающие сообщения об ограничении доступа к устройству и настраивать белые списки устройств.

Вывод по DLP SecureTower:

Золотарев Никита, ознакомился с dlp-системой SecureTower и научился разграничивать доступ пользователей к информации, ограничивать доступ копируемой информации на съёмные носители, и настройке контентной фильтрации. Благодаря SecureTower я смог настроить «скриншотизацию» экрана пользователя через определенные промежутки времени. Уверен, что для будущей работы этот проект будет более чем полезен.



Список литературы

· https://ru.wikipedia.org/wiki/Zlock

· http://www.1c.ru/vendors/securit/

· http://www.devicelock.com/ru/

· http://www.anti-malware.ru/reviews/DeviceLock_DLP_Suite_8_part_1

· DeviceLock DLP Suite Руководство пользователя

· FalconGaze SecureTower Installation Guide

· FalconGaze SecureTower Quick Start Guide

· http://www.anti-malware.ru/reviews/Falcongaze_SecureTower_5_5

· http://falcongaze.ru/

Размещено на Allbest.ru

...