Обзор Zecurion Next Generation DLP

Дата: 17.12.2020. Автор: Zecurion. Категории: Статьи по информационной безопасности
Обзор Zecurion Next Generation DLP

Система Zecurion Next Generation DLP (Data Loss Prevention) предназначена не только для борьбы со случайными или намеренными утечками информации, но и для борьбы с мошенничеством в компаниях. Система с помощью развитых аналитических инструментов и уникальных на DLP- рынке возможностей помогает выявлять недобросовестных сотрудников, мошеннические схемы и сговоры в компании. Кроме этого система является удобным инструментом для офицеров безопасности, в распоряжении которых есть современный веб-интерфейс с архивом данных, модулем отчётности для ежедневной работы с информацией, профилями сотрудников с данными об их действиях в сети и кругом общения, анализом поведения персонала и пр.

Возможности Zecurion Next Generation DLP:

  • Фокус на сотрудниках, данных и хранилищах
  • Enterprise — работа в сетях с более чем 100 000 ПК
  • Единая система управления для всех платформ (web, iOS)
  • Симметричность политик и технологий для разных каналов
  • Развитые аналитические инструменты
  • Собственные уникальные разработки
  • Встроенная система для полноценных расследований (IRP)
Обзор Zecurion Next Generation DLP

Рис. 1.  Возможности Zecurion Next Generation DLP

Архитектура Zecurion Next Generation DLP 

Обзор Zecurion Next Generation DLP

Рис. 2.  Архитектура Zecurion Next Generation DLP

  • Сенсоры: контролируют распространение информации через локальные и сетевые каналы, собирают данные и события в архив
  • Архив: хранит все перехваченные данные, позволяет расследовать инциденты и проводить ретроспективный анализ, применяя новые политики к сохранённым ранее данным
  • DLP-сервер: хранит настройки и политики и распространяет их на сенсоры, контролирует работу сенсоров
  • Сервер установки: устанавливает агентские модули на конечные точки сети
  • Веб-консоль: обеспечивает гибкое управление политиками безопасности и расследование инцидентов

Функциональные возможности

Контроль более 200 каналов передачи данных

Zecurion DLP в составе модулей Traffic Control, Device Control и Discovery контролирует большое количество каналов передачи данных, т. е. сетевые, локальные и хранилища информации. Среди популярных контроль приложений и мессенджеров (Whatsapp, Telegram, Messenger, Skype), переписки в почте и социальных сетях (Facebook, VK, Twitter), использование USB и других съёмных устройств, а также определение мест хранения конфиденциальной информации в корпоративной сети (облака, сетевые папки, серверы) и несанкционированных копий важных документов, которые хранятся на рабочих компьютерах и ноутбуках пользователей и в общедоступных сетевых хранилищах.

Архив данных и ретроспективный анализ при расследовании

Весь перехватываемый трафик DLP-система Zecurion помещает в собственный архив, который создает полноценную базу для расследования инцидентов ИБ. Архив не имеет ограничений по объему сохраняемой информации и сроку хранения. Фильтрация и поиск данных по различным атрибутам и ключевым словам позволяет максимально быстро работать с большими объёмами данных Active Directory и без задержек выгружает до 1 млн объектов.

Блокировка утечек, активный пассивный и смешанный режимы работы

В зависимости от настроек политик безопасности система может работать в нескольких режимах: блокировать передачу данных и сохранять информацию в архив, разрешать передачу той или иной информации, но при этом оповещать о потенциально опасных случаях администратора системы, либо выборочно разрешать или запрещать действие. 

Аналитика и отчёты

  • Расширенные данные о поведении сотрудников
  • Выявление аномального поведения и всплесков
  • Оценка уровня лояльности персонала
  • Прогноз настроения в коллективе (HR+)
  • Выявление признаков мошеннического сговора
  • Выявление группы риска среди персонала

Технологии детектирования

Качество определения используемой конфиденциальной информации напрямую зависит от количества технологий детектирования. Каждый способ обнаружения утечек обладает своими плюсами и минусами, а использование данных технологий является взаимодополняющим. Поэтому чем больше способов обнаружения данных, тем качественнее работа DLP-системы.

Zecurion DLP использует более 10 технологий обнаружения конфиденциальной информации в отличие от других разработчиков DLP, использующих около 5-7 технологий. Среди них одна из самых востребованных — OCR (анализ графических изображений) — выделяет текст из пересылаемых изображений. Это позволяет системе распознавать и предотвращать утечки конфиденциальных данных, содержащихся в скриншотах, фотографиях, отсканированных, рукописных и других графических документах. Помимо OCR и базовых технологий в Zecurion DLP задействован комплекс технологий гибридного анализа, который включает в себя уже зарекомендовавшие себя на рынке технологии, такие как регулярные выражения или цифровые отпечатки (DocuPrints), более сложные технологии контентного анализа (MorphoLogic), самообучаемая технология собственной разработки (SmartID).

Профиль поведения сотрудника (UBA)

Встроенный в Zecurion DLP модуль по специально разработанному алгоритму анализирует действия сотрудников — изменения характера использования различных каналов связи, инциденты, нарушения политик безопасности — и автоматически выявляет подозрительную активность пользователей. Zecurion UBA помогает офицерам безопасности ещё эффективнее выявлять угрозы уже на ранних стадиях, например, когда инсайдеры только готовятся украсть информацию или сотрудник стал активно пересылать корпоративные данные за пределы сети.

Обзор Zecurion Next Generation DLP

Рис. 3. Отчёт «Сотрудники»

Обзор Zecurion Next Generation DLP

Рис. 4. Отчёт «Сравнение сотрудников»

Эмоциональный контроль

В Zecurion DLP реализована возможность контроля эмоционального состояния пользователей. Модель оценивает сотрудников по 8 основным поведенческим реакциям и помогает офицеру безопасности выделять среди персонала группы риска. Система автоматически выстраивает отчёт с информацией о динамике эмоционального состояния сотрудника и наглядной диаграммой.

Модель позволяет получать дополнительную информацию о персонале, прогнозировать настроения в коллективе и выявлять в личности признаки нежелательного и опасного поведения. По словам заказчиков Zecurion, дополнительные данные о сотруднике часто бывают полезны при реальных расследованиях.

Обзор Zecurion Next Generation DLP

Рис. 5.  Диаграмма отчёта «Динамика эмоций»

Риски

Рисковая модель в Zecurion DLP позволяет контролировать данные и видеть в режиме реального времени активность сотрудников, а также управлять рисками ИБ и быстрее определять потенциально опасных сотрудников. Система высчитывает риски по инцидентам (событиям), сотрудникам и группам — всего 6 показателей. В качестве источника для анализа Zecurion DLP использует политики безопасности, а в последующих версиях планируется задействовать данные отчётов по поведенческому анализу (UBA) и аномалий. Показатели рисков можно использовать в сравнении сотрудников и целых групп.

Обзор Zecurion Next Generation DLP
Обзор Zecurion Next Generation DLP

Рис. 6.  Отчёт «Риски»

Профили и аномалии

Данный отчёт предназначен для своевременного выявления всплесков активности и изменения профилей поведения сотрудников, например, большое количество отправленных файлов с конфиденциальной информацией. Модель определяет 7 типов аномалий и отображает их в профиле сотрудника с указанием даты и времени детектирования нетипичных действий. Данный инструмент профилирования поведения значительно обогащает данные для анализа и позволяет быть в курсе общей и частной ИБ-обстановки.

Обзор Zecurion Next Generation DLP

Рис. 7.  Отчёт «Аномалии»

Расширенные возможности мониторинга действий

Кейлогер, скриншоты экрана, съёмка веб-камерой и запись микрофона

Получать информацию о действиях сотрудников можно с помощью дополнительных инструментов мониторинга. Система с заданной периодичностью создаёт фото с камеры пользовательского компьютера и сохраняет их в архив. Снимки позволяют отслеживать присутствие сотрудника на рабочем месте, а также служат в качестве дополнительного доказательства в случае расследования инцидента.

Система также отслеживает нажатия клавиш на клавиатуре пользователя. Офицер безопасности может просматривать какую информацию сотрудник вводит в данный момент или вводил ранее. Информацию можно получать в виде обычного файла с набранным текстом. Запись звука с микрофонов контролируемых компьютеров, в том числе разговоры через VoIP, можно прослушать в веб-интерфейсе в формате аудио, либо открыть текстовую запись разговора.

Screen Photo Detector — защита от фотографирования экрана

В Zecurion DLP реализован модуль защиты от фотографирования экранов компьютеров и ноутбуков. Screen Photo Detector выявляет фотографирование экрана корпоративных компьютеров на смартфон за счёт использования технологий машинного обучения на базе нейронных сетей. При обнаружении подозрительных действий пользователя Zecurion DLP позволяет своевременно оповестить службу информационной безопасности о потенциальной угрозе и снизить риски утечек данных, а сам факт фиксируется в архиве DLP.

Обзор Zecurion Next Generation DLP

Рис. 8.  Screen Photo Detector

Модуль определяет смартфоны, независимо от цвета корпуса и модели, а также подавляет шумы и игнорирует лишние объекты на фоне для более точного определения устройств и уменьшения количества ложных срабатываний. Важно, что модуль работает вне зависимости от того, используется ли камера другими приложениями или нет. То есть DLP-система может контролировать съёмку экрана, даже если сотрудник в это время общается по Skype или участвует в видеоконференции.

Собственная IRP-система (расследование инцидентов и постановка задач)

Система представляет собой центр обработки и реагирования на инциденты информационной безопасности и включает в себя таск-менеджер с инструментами для постановки задач. Встроенный в Zecurion DLP инструмент позволяет своевременно расследовать инциденты внутри компании и выявлять нарушителей.

Работать с событиями можно как одновременно, так и последовательно, с делегированием полномочий и указанием определённых задач для конкретного сотрудника отдела безопасности. В карточке задачи отображаются стандартные поля: дедлайн, тип, статус, исполнитель, инициатор, чек-боксы и другие поля в любом количестве. Все действия офицеров безопасности логируются и отображаются непосредственно в карточке задачи. При обработке инцидента есть возможность прикреплять файлы любого формата, переписку сотрудников и письма в качестве доказательств с последующими комментариями сотрудника ИБ.

Обзор Zecurion Next Generation DLP

Рис. 9.  Созданная задача

Прочие возможности Zecurion DLP

Screen Watermarks

При создании документа с конфиденциальной информацией, в него встраивается неизменяемая метка. При попытке отправить файл за пределы корпоративной сети Zecurion DLP проверит его на наличие метки и в случае её обнаружения передача будет заблокирована, а информация о событии будет передана офицеру безопасности.

Обзор Zecurion Next Generation DLP

Рис. 10.  Screen Watermarks

Zecurion DLP Linux Agent

Версия Zecurion DLP для Linux контролирует использование съёмных устройств, печать на принтерах, передачу данных по сети и электронной почте с рабочих станций. Решение позволяет создавать гибкие политики безопасности для съёмных носителей. При этом можно не только запретить или разрешить использование USB-накопителей, но и установить ограничения — например, разрешить только просмотр данных. Управление политиками Linux-агентов происходит через единую консоль управления Zecurion, при этом политики также универсальны для Windows- и Linux-агентов.

Работа с SIEM-системой

Zecurion DLP передаёт данные в популярные SIEM-системы. Благодаря этому служба информационной безопасности может комплексно анализировать все события информационной безопасности в компании и оперативно на них реагировать.

Вывод

Сегодня основным вектором развития DLP-систем нового поколения является возможность эффективного предотвращения мошенничества. Достигается это путём развития некой единой платформы для аналитической работы и полноценного расследования инцидентов и защиты не только конфиденциальных данных, но и денежных средств компании.

Система Zecurion Next Generation DLP предназначена для борьбы с корпоративным мошенничеством и экономическими преступлениями. Архитектура системы позволяет внедрять её в 4 раза быстрее, чем другие DLP класса enterprise. Zecurion DLP обладает встроенной функцией архивирования, сохраняя копии всех входящих и исходящих сообщений, писем, вложенных файлов, документов, записанных на USB-устройства и распечатанных на принтерах.

Кроме контроля информационных потоков и блокировки утечек информации DLP-система с помощью инструментов анализа поведения и эмоций персонала помогает специалистам по информационной безопасности своевременно выявлять подозрительных сотрудников и проводить полноценные расследования. Также система существенно сокращает ручной труд при подготовке отчётов и экономит не менее 15% рабочего времени офицера безопасности, обслуживающего DLP-систему.

Итог

С помощью Zecurion Next Generation DLP можно:

  • Блокировать случайные и намеренные утечки информации
  • Выявлять экономические преступления и мошеннические схемы в компании
  • Отслеживать деятельность сотрудников на рабочем месте
  • Отслеживать продуктивность работы персонала
  • Полноценно расследовать инциденты с помощью встроенной системы IRP
  • Контролировать более 200 каналов передачи данных
  • Выявлять и контролировать группы риска среди персонала
  • Использовать системы в рамках импортозамещения (Linux)

Оставьте заявку на бесплатное тестирование всех возможностей Zecurion DLP нового поколения по адресу [email protected].

Zecurion

Об авторе Zecurion

Российская компания, занимающаяся разработкой DLP-систем для защиты от утечек информации, консалтингом и проведением исследований в области информационной безопасности.
Читать все записи автора Zecurion

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *