Корпорация Symantec объявила о выпуске одиннадцатой версии Symantec DLP, представляющей собой функционирующую под единой консолью управления линейку продуктов, каждый из которых в свою очередь состоит из нескольких компонентов, предназначенных в целом для защиты от утечек данных на рабочих станциях, в корпоративных сетях и в системах хранения.

Интеллектуальный анализ данных. Как сообщил технический консультант по продуктам информационной безопасности корпорации Symantec в России и СНГ Олег Головенко, самым важным нововведением (которое несколько отстает от остальных по срокам вывода на рынок и появится в DLP-системе в мае вместе с версией 11.1) будет изменение компонента, отвечающего за анализ данных. К двум имеющимся технологиям анализа контента — работающим по описанию (с помощью ключевых слов, регулярных выражений, идентификаторов, шаблонов и т. п.) и по цифровым отпечаткам— добавляется анализ содержания, основанный на искусственном интеллекте. С его помощью реализован самообучающийся функционал (на основе технологии Vector Machine Learning, VML), позволяющий находить соответствие между теми документами, которые были введены в систему при обучении, и вновь поступающими. В процессе обучения нужно подать на вход VLM примерно сотню документов, отобранных вручную и полностью тождественных (в соответствии с экспертной оценкой) заданной категории данных, и сотню похожих, но не относящихся к ней, также вручную категоризованных экспертами. После обучения функционал готов к работе. Кроме непосредственно обнаружения утечек его можно использовать и в других целях, например для автоматической сортировки данных.

До официального объявления о выпуске технология VLM тестировалась примерно на протяжении года у клиентов, эксплуатирующих Symantec DLP. По словам Олега Головенко, она показала хорошие результаты на таких типах данных, как исходные тексты программ, резюме, страховые полисы, договоры, лицензии, отчеты, типизированная переписка по электронной почте и т. п. Он также отметил, что у ближайших конкурентов Symantec на международном рынке DLP-систем, таких как McAfee, RSA (EMC) и Websense, подобной технологии контентного анализа пока нет.

Работа с приложениями. К настоящему времени Symantec DLP умеет проверять содержимое примерно у трёхсот типов файлов. В тех случаях, когда прямой поддержки требуемого типа файлов у системы ещё нет, или он зашифрован, или защищен паролем, Symantec предлагает отныне использовать технологию Content Extraction API, которая позволяет решению на базе Symantec DLP открывать и анализировать данные, ранее ему недоступные. Эта технология дает возможность подключать для обработки подобных файлов сторонние утилиты, извлекающие из файлов, форматы которых Symantec DLP не поддерживает, содержащуюся в них текстовую информацию и передавать ее на вход системы предотвращения утечек. Необходимые утилиты вызываются автоматически при обработках инцидентов системой DLP.

Контроль рабочих станций существенно улучшен в новой версии Symantec DLP. Реализован полный контроль записи и сохранения в сетевые папки и обратно на диски рабочих станций. Функция Application File Access Control устраняет проблемы работы с проприетарными приложениями (использующими собственные системы шифрования, форматы, протоколы передачи данных и т. д.) за счет регламентации доступа этих приложений к тем данных, категории которых оговорены в соответствующих политиках безопасности. Это поможет контролировать использование персоналом таких программ, как Skype, ICQ, Google Talk, iTunes, Cisco Webex, Bluetooth и т. п.

Новая функция Trusted Devices позволяет создавать более гибкие, нежели ранее, политики использования мобильных носителей информации. Например, заказчик может сформировать список устройств (USB, SD-карты, внешние диски), на которые будет разрешено копирование конфиденциальных данных пользователям с определенными ролями доступа. Автоматический контроль с помощью функционала Endpoint Discover обеспечивает своевременное обнаружение содержащих конфиденциальную информацию файлов, располагающихся в ненадлежащих местах хранения, и перемещать их в защищенные хранилища, оставляя на их месте метки для пользователей.

Управление. Согласно предоставленной корпорацией Symantec информации, в 11-й версии существенно расширены и автоматизированы функции, позволяющие администратору системы DLP напрямую с консоли Enforce следить за состоянием агентов рабочих станций и управлять ими. Появилась возможность перемещать агенты из одной подсети в другую, отключать, перезапускать их, переключать с одного DLP-сервера управления на другой. В связи с этим отпала необходимость привлекать ИТ-администраторов для решения проблем, связанных с состоянием агентов рабочих станций.

Если ранее конфигурация агента определялась только тем, к какому серверу управления он подключен (от этого зависело, какие каналы утечек и с помощью каких фильтров он контролирует), то в версии 11 администратор DLP-системы может создавать неограниченное число типов таких конфигураций и применять их в соответствии с заданными ИБ-политиками. Это позволяет оптимизировать нагрузку на DLP-систему, избавив ее от выполнения ненужной работы (например, от отслеживания CD-данных на тех рабочих станциях, где нет CD-приводов).

Сеть. Чтобы увеличить скорость сканирования сетевого трафика, в предыдущих версиях требовалось использовать ОС Linux либо применять специализированные сетевые карты (которые дороже обычных), то, как сообщил Олег Головенко, начиная с версии 11 быстрое сканирование (330 Мбит/с) трафика стало доступным и для пользователей ОС Windows.

Он пояснил также, что компоненты Symantec DLP 11, контролирующие утечки через электронную почту и веб-трафик, отныне поддерживают работу в облачных архитектурах. Это, например, позволит компаниям, использующим электронную почту как сервис внешнего провайдера и не имеющим своей почтовой инфраструктуры, установив Symantec DLP 11, перенести компоненты защиты почты и интернет-трафика на сторону провайдера, а управление защитой от утечек оставить у себя.

Хранение данных. Контроль утечек из систем хранения обеспечивают два интегрированных между собой компонента — Symantec DLP Storage и Data Insight. Сообщается, что в 11-й версии в них упрощен процесс сканирования распределенных систем Microsoft Exchange и SharePoint. Отныне данные этих систем сканируются без использования агентов и с гибкой настройкой под всевозможные варианты политик сканирования.

Как полагают в Symantec, к контроль и удаление конфиденциальных данных из запрещенных для них мест хранения существенно упростятся, эти процедуры будут выполнять сами владельцы этих данных. Компонент Data Insight позволяет контролировать действия пользователей с файлами, хранить историю этих действий и в результате корректно определить владельца каждого файла. В Symantec считают, что владельцем файла логично признать не того, кто прописан в его метаданных, а того, кто реально создал этот файл и чаще других с ним работает. Предлагается регулярно (например, еженедельно) всем владельцам файлов, содержащих конфиденциальную информацию и хранящихся в несоответствующих местах, рассылать уведомления о необходимости перенести их в защищенное место хранения. Если делать это централизованно, администратору DLP нужно выяснить корректность текущего места хранения, найти новое, надлежащее место и правильно распорядиться предоставлением доступа к файлу для его перемещения туда. По мнению специалистов Symantec, привлечение к этой работе пользователей значительно ускорит процесс перемещения конфиденциальной информации в защищенные места хранения.

В Data Insight версии 11 реализован механизм расчета рисков, учитывающий категории данных и уровень защищенности мест их хранения. В результате с каждой папкой ассоциируется некое числовое значение риска утечки, которое помещается в отчеты. Это позволяет приоритизировать действия по исправлении ситуации.

Механизм слежения за действиями пользователей с файлами, реализованный в Data Insight, умеет генерировать уведомления (либо администратору DLP-системы, либо руководителям, либо самим пользователям) об обращениях к данным, превышающих некоторые установленные лимиты (например, если к строго конфиденциальным данным обращаются чаще, чем предусмотрено, или кто-то из пользователей попытался обратиться к данным, с которыми ранее не работал). На базе этого механизма можно сформулировать критерии реагирования в целях предотвращения утечек.

Классификация данных. Технологии анализа контента, реализованные в Symantec DLP, начиная с 11-й версии доступны и для других продуктов Symantec. Это, как заявляют в компании, знаменует переход к единой платформе классификации информации для всех её продуктов. Олег Головенко считает, что новую возможность прежде всего полезно использовать в работе механизма классификации данных продукта Enterprise Vault, что позволит корректно (в том числе с точки зрения защиты от утечек) управлять хранением и архивированием корпоративной почты

Учет требований российского рынка. Как проинформировал директор отдела технических решений корпорации Symantec в России и СНГ Николай Починок, русский язык в Symantec DLP официально поддерживается больше года. По его словам, в апреле 2011-го выйдет Russian Language Pack for Symantec DLP 11, который обеспечит поддержку русскоязычного интерфейса в новой версии системы. Несколько позже будет готова на русском языке и документация к Symantec DLP 11. Он отметил также, что получен сертификат ФСТЭК, удостоверяющий, что Symantec DLP является программным средством предотвращения несанкционированного копирования информации, которая не содержит сведения, составляющие государственную тайну.

Версия для печати