RSA Data Loss Prevention Suite: технология по предотвращению утечки конфиденциальных данных

Повышенный интерес заказчиков к системам, предотвращающим утечки конфиденциальных данных (Data Loss Prevention — DLP), сохраняется на протяжении нескольких последних лет. Более того, как западные, так и российские аналитики прогнозируют значительный рост числа проектов, связанных с данной технологией. В первую очередь это обусловлено не прекращающейся ни на неделю чередой сообщений в СМИ об инцидентах, связанных с компрометацией корпоративных конфиденциальных данных. Как показывает статистика (по крайней мере западная), подавляющее большинство подобного рода происшествий происходит из-за непреднамеренного нарушения пользователями принятых в организации правил работы с конфиденциальной информацией. При этом стоит сразу отметить, что ни одна из имеющихся на рынке DLP-систем сама по себе не обеспечивает защиту от высококвалифицированных злоумышленников. Здесь, как обычно, требуется комплексный подход и интеграция DLP с другими системами информационной безопасности. Именно по этому пути движется компания RSA (подразделение информационной безопасности корпорации EMC), развивая тесное технологическое сотрудничество c ведущими ИT-вендорами. В частности, RSA DLP напрямую интегрируется с Microsoft RMS, Microsoft TMG, Cisco IronPort S-series и C-series и решениями некоторых других вендоров.

Одним из наиболее перспективных вариантов расширения функционала DLP-систем является интеграция с SIEM-технологией (у RSA это платформа enVision) и с системами GRC (Governance, Risk, Compliance) для анализа информационных рисков и оценки соответствия системы управления ИБ (у RSA это Archer). Корпорация EMC применила данный подход при создании внутренней службы Critical Incident Response Center (CIRC), где RSA DLP, RSA enVision и RSA Archer совместно используются для защиты корпоративной инфраструктуры EMC и контроля уровня информационных рисков.

Сама по себе технология DLP также интенсивно развивается. Например, RSA примерно раз в квартал выпускает новые версии или обновления DLP Suite. В частности, в конце 2010 г. вышла очередная редакция системы (версия 8.5), существенно расширившая возможности продукта.

Система RSA DLP Suite представляет собой интегрированный пакет продуктов, обеспечивающих проактивный подход к управлению рисками потери корпоративных данных. Она состоит из трех продуктов и пяти модулей: RSA DLP Datacenter, RSA DLP Network (модули Monitor и Enforce), и RSA DLP Endpoint (модули Discovery и Enforce), которые используются по отдельности или в едином комплексе в зависимости от предъявляемых заказчиком требований. Управление всеми программными единицами системы, настройка политик, анализ и обработка инцидентов производятся централизованно с помощью Web-консоли Enterprise Manager, что позволяет предотвратить потерю конфиденциальных данных независимо от их местонахождения.

Политики в RSA DLP Suite определяют, какие действия и каким пользователям разрешены с определенным типом (классом) данных. При этом список пользователей со всей организационной структурой Enterprise Manager можно получить из Active Directory.

За классификацию данных в RSA DLP отвечают так называемые Content Blades, которые фактически являются набором правил для формального описания того или иного типа информации. RSA поставляет большое количество готовых Content Blades (например, под тип данных PCI-DSS, SOX и т. п.). Администраторы системы могут также создавать свои описания конфиденциальных данных. Content Blades могут использовать все принятые сейчас в DLP-решениях методы классификации данных:

• регулярные выражения;
• поиск по словарю и списку выражений;
• entities — предустановленные исполняемые модули для специальных случаев, которые требуют дополнительных вычислений (например, номера кредитных карт должны подчиняться правилу “Luhn Formula”);
• pluggable entity — в текущей версии поддерживается язык Lua (www.lua.org), с помощью которого администраторы системы могут создавать свои модули для выявления структурированных данных определенного типа;
• метаданные (MS Office и Adobe Acrobat);
• цифровые отпечатки -- со всего файла, “частичные”, с абзацев документа, с полей БД;
• логические выражения, весовые коэффициенты, счетчики вхождений, автоматический скоринг и учет пороговых значений.

Каждая политика может содержать необходимое количество Content Blades, что позволяет очень точно специфицировать защищаемую информацию.

Физическая архитектура RSA DLP Suite основана на принципах масштабируемости и производительности. По этой причине вся проверка данных производится компонентами DLP локально. Данные никогда не пересылаются на какой-либо центральный сервер для контроля. Enterprise Manager рассылает компонентам DLP политики и принимает для последующего анализа выявленные инциденты вместе с данными, которые вызвали срабатывание определенной политики (выборочное “теневое копирование”). Модульность системы и описанная архитектура позволяют использовать RSA DLP Suite как в небольших организациях, так и для построения решений уровня предприятия, покрывающих территориально распределенные филиалы.

RSA DLP Datacenter

Компонент DLP Datacenter представляет собой решение по защите от утечки информации, хранящейся в общих каталогах, базах данных, на сайтах системы SharePoint и в иных информационных системах. Оно позволяет сканировать данные с беспрецедентной скоростью и выявлять нарушения принятых корпоративных политик хранения конфиденциальной информации. По выявленным инцидентам могут быть сгенерированы оповещения (alerts), а также автоматически выполнены некоторые дополнительные действия, в том числе наложение политик eDRM (RSA DLP интегрирован с Microsoft RMS).

Для эффективного сканирования больших объемов информации модуль может использовать технологию распределенного сканирования (Grid Scanning). Эта функция позволяет задействовать свободные вычислительные ресурсы для параллельной обработки больших массивов данных.

RSA DLP Network

Компонент DLP Network наряду с пассивным мониторингом сетевого трафика активно противодействует попыткам несанкционированной передачи конфиденциальной информации. Для пассивного мониторинга используется программно-аппаратный комплекс (appliance) Sensor, подключаемый по SPAN/TAB-портам к корпоративной сети. Активное вмешательство (блокировка, карантин, явное подтверждение) осуществляют программно-аппаратные комплексы (доступен виртуальный вариант в виде VMware-образов):

• Interceptor (контроль электронной почты). В качестве альтернативы Interceptor вскоре можно будет использовать устройство Cisco IronPort C-series;
• ICAP-сервер (HTTP/HTTPS/FTP).

ICAP-сервер использует стандартный протокол ICAP для взаимодействия с прокси-серверами и контроля передаваемой пользователями информации. В частности, он работает с proxy BlueCoat, Cisco IronPort S-series, Microsoft TMG, Squid. Применение именно программно-аппаратных систем позволяет обеспечить необходимую производительность в корпоративных сетях передачи данных.

RSA DLP Endpoint

Компонент DLP Endpoint устанавливается на рабочую станцию пользователя и обеспечивает как периодическое сканирование данных, хранящихся локально, так и активную блокировку несанкционированных попыток копирования конфиденциальных данных (на мобильные носители, CD/DVD, внешние файловые ресурсы) и печати информации на локальных и сетевых принтерах. Этот компонент защищен от удаления с рабочей станции и может работать в автономном режиме (когда рабочая станция не подключена к сети). В автономном режиме DLP Endpoint может также контролировать HTTP/HTTPS и трафик приложений мгновенных сообщений.

Сейчас не вызывает сомнения тот факт, что технологии DLP становятся неотъемлемой и обязательной частью корпоративных систем информационной безопасности. При этом, интегрируя DLP Suite с другими элементами корпоративных ИБ-систем, RSA демонстрирует комплексный подход к проблеме, существенно повышая уровень защиты конфиденциальных данных.

СПЕЦПРОЕКТ