«Кибер Протего 10.5» — защита для самого ценного

Зачастую инциденты, связанные с утечкой конфиденциальных данных, носят не злонамеренный характер, а непреднамеренный, вызванный обычной халатностью, игнорированием правил безопасности и даже чрезмерным усердием. Здесь стоит отметить прямую связь с распространением всевозможных сервисов для пользователей, через которые можно передавать данные. Помимо старой доброй электронной почты, это мессенджеры, социальные сети, облака и т.д. Различные устройства для записи данных также стали намного доступнее. Обычный flash-накопитель стоит сущие копейки, и приобрести его можно в любом киоске или на кассе в ближайшем гастрономе. Все эти сервисы и устройства создаются для удобства конечных пользователей, однако дома этот пользователь является «домашним», а на рабочем месте — корпоративным. И если организация не принимает никаких мер для защиты, у людей всегда будет соблазн, а порой даже неосознанное стремление пользоваться и на рабочем месте привычными инструментами. Но важно понимать, что созданные для удобства пользователей, для удовлетворения их социальных потребностей инструменты функционируют абсолютно без какой-либо обратной связи со средствами корпоративной безопасности.

Модель информационной безопасности потребительских приложений основывается на том, что все решения о способах и уровне авторизации, аутентификации и ограничении доступа к данным принимает конечный пользователь, который далеко не всегда является владельцем данных, будучи при этом сотрудником организации. Ситуация усугубляется тем, что в последние годы широко распространились модели, связанные с удаленным и гибридным режимом работы, а также концепция BYOD (Bring Your Own Device).

Предотвратить злонамеренные или случайные утечки помогают системы класса DLP (Data Leak Prevention), которые призваны превращать хаос информационных потоков в управляемую и защищенную экосистему. Помимо защиты важной информации на всех рабочих станциях, серверах и хранилищах, DLP обеспечивают соответствие требованиям регуляторов и возможность оперативного реагирования на инциденты (ведут журнал событий, выявляют нелояльных сотрудников).

На российском рынке представлено достаточное количество DLP-систем, обладающих как базовой функциональностью и предназначенных для небольших организаций, так и настоящих «комбайнов», обслуживающих десятки тысяч рабочих станций и обладающих возможностями не только по защите данных, но и по аналитике. К последним относится «Кибер Протего», продукт российской компании «Киберпротект». Система ведет свою историю с 1996 года. Она тогда называлась DeviceLock и контролировала запись данных на аппаратные устройства. В 2008 году система эволюционировала до полноценной DLP, а в 2020-2021 годах ядро команды разработчиков перешло на работу в компанию «Киберпротект», где продолжилась дальнейшая работа над продуктом. Недавно увидела свет новая версия «Кибер Протего» 10.5. Расскажем коротко о возможностях этого продукта, а также сфокусируемся на нововведениях, реализованных разработчиками в свежей версии.

Основные возможности «Кибер Протего»

Система обеспечивает контроль в реальном времени при использовании и передаче данных. Этот контроль включает в себя мониторинг сотрудников, коммуникационных каналов и различных устройств, таких как принтеры, USB-носители, оптические диски и т.д. (для Windows, Linux, MacOS), на предмет передачи с их помощью конфиденциальных данных. Все эти механизмы защиты работают не только на физических рабочих станциях и серверах, но также на виртуальных машинах и в терминальных средах. В локальных и сетевых хранилищах система «Кибер Протего» определяет наличие заданной информации в хранимых данных и устраняет нарушения.

«Кибер Протего» обеспечивает защиту конфиденциальной информации при различных сценариях использования — от внедрения принципов Zero Trust до ненавязчивого мониторинга без блокировок. Платформа предлагает интеллектуальное управление устройствами через продвинутую систему «белых списков» и гибкий избирательный контроль доступа ко всем типам устройств в Windows и некоторым типам устройств в Linux и macOS. Особое внимание уделяется безопасности терминальных сессий, где осуществляется мониторинг не только перенаправленных в терминальную сессию устройств, но и системного буфера обмена данными.

Сетевое взаимодействие находится под тщательным наблюдением благодаря гибкому контролю доступа к различным сервисам — электронной почте, мессенджерам и облачным хранилищам. Ключевым преимуществом является контентный анализ в режиме реального времени, позволяющий автоматически принимать решения о допустимости передачи данных на основе их содержимого по различным каналам без необходимости блокировки.

Архитектура и основные компоненты

Система «Кибер Протего» построена на основе нескольких независимых модулей, каждый из которых выполняет специализированные функции.

Рис.1. Архитектура системы

Агенты Кибер Протего. Основной компонент DLP-системы. Агенты устанавливаются на конечные устройства (рабочие станции) и обеспечивают мониторинг активности пользователей, контроль устройств, анализ сетевых коммуникаций и содержимого передаваемых данных. Агенты способны работать автономно, переключаясь между двумя наборами политик и сохраняя функциональность даже при отсутствии связи с сервером. По словам разработчиков из «Киберпротект», агенты «Кибер Протего» для Windows обладают самой богатой функциональностью среди всех российских DLP-систем.

Сервер управления. Централизованно управляет политиками безопасности, собирает и хранит журналы событий, а также анализирует полученные данные. Установка возможна как на Windows, так и на Linux.

Консоли управления. Интерфейс для администраторов, позволяющий настраивать политики, просматривать отчеты и анализировать инциденты. В новейшей версии 10.5 усовершенствована веб-консоль, предоставляющая возможности просмотра и анализа событий, построения различных отчетов, — и, начиная с новой версии, обеспечивающая управление агентами на Linux.

Рис.2. Пример отчета из веб-консоли. Граф связей

Агенты Discovery. Выполняют сканирование рабочих станций с целью обнаружения конфиденциальных данных (данных с критическим содержимым) и выполнения с ними различных действий, предопределенных DLP-политиками.

Сервер Discovery. Управляет задачами по сканированию рабочих станций и хранилищ для обнаружения конфиденциальных данных и информации. И сервер, и агенты Discovery работают под ОС Windows. При этом сканирование и обнаружение возможно и для сетевых устройств — если они доступны по протоколу SMB.

Архитектура «Кибер Протего» поддерживает развертывание нескольких серверов управления для балансировки нагрузки и повышения отказоустойчивости. Настраиваемые параметры видеозаписи и теневого копирования минимизируют потребление ресурсов сети и хранилищ.

Контроль устройств, протоколов и пользователей

В основе контроля сетевого трафика «Кибер Протего» лежит технология глубокой проверки пакетов (Deep Packet Inspection, DPI). Анализ стандартных сетевых протоколов DPI-движком позволяет исключить зависимость от используемого браузера или почтового клиента. Агенты могут контролировать протоколы HTTP(S), FTP(S), SMTP(S), а также мессенджеры и облачные хранилища, обеспечивая комплексный контроль коммуникаций. Из мессенджеров «Кибер Протего» контролирует наиболее популярные: Telegram, WhatsApp, Jabber, Viber, Skype и другие. Из ВКС-сервисов контролируются, например, Zoom и TrueConf. Если заказчику нужна защита в каком-то мессенджере или сервисе, который пока поддерживается, разработчики готовы ее также реализовать. Но и без участия разработчиков есть решение — если система сталкивается с неподдерживаемым протоколом, защиту может обеспечить собственный файрвол. Отдельно стоит отметить контроль сайтов с поиском работы, файлообменников и торрентов.

Иногда требуется не полностью блокировать коммуникации по протоколу или через приложение, а только запретить выпускать наружу конфиденциальную информацию. Причем выявить потенциальную утечку нужно до того, как данные выйдут за пределы корпоративного периметра. Здесь на помощь приходит контентный анализ содержимого с автоматическим принятием решения — можно или нельзя передавать вовне этот файл, документ, пост или письмо. Предусмотрен и противоположный сценарий, когда канал наружу полностью перекрыт, но, если пользователь попытается передать информацию, не имеющую конфиденциального характера, система позволит это сделать. Контентный анализ позволяет ИБ-специалистам быстро выявлять любую чувствительную информацию и реализовывать один из вариантов — запрет или разрешение. При создании правил можно включить различные опции: например, сделать так, что при срабатывании запрещающего правила будет отправляться алерт и включаться запись экрана, а при разрешающем — создаваться теневая копия. Если какая-либо чувствительная информация не пересылается, но хранится на рабочих станциях, серверах или хранилищах, ее может выявить Discovery — модуль аудита защищаемых файлов в хранилищах данных, который может удалять или шифровать информацию, нарушающую корпоративную политику безопасности.

Контроль устройств включает в себя управление доступом к принтерам, USB-устройствам, различным специальным внешним накопителям и буферу обмена. «Кибер Протего» в работе с устройствами поддерживает любые удобные пользователю режимы. Пользователи могут работать в соответствии с «белыми списками», составленными на основе идентификаторов устройств (Vendor ID, Product ID). Характерной уникальной особенностью является поддержка контроля перенаправленных устройств в терминальных сессиях.

Иногда бывает недостаточно просто выявить и предотвратить факт утечки. Для расследования инцидента зачастую требуется полная картина. Функционал мониторинга пользовательской активности (UAM) позволяет получить исчерпывающую картину действий сотрудников в критические моменты. Платформа осуществляет видеозапись экрана, в том числе и до регистрации факта нарушения, регистрирует нажатия клавиш и фиксирует работу запущенных приложений с привязкой к конкретным событиям.

Рис.3. Мониторинг активности пользователей

Можно настроить запись периодов до и после инцидента, а также включить один из множества триггеров, при срабатывании которых запись будет включаться автоматически — от входа в систему и запуска определенных процессов до подключения накопителей или попыток передачи конфиденциальной информации. Благодаря журналированию облегчается и упрощается расследование инцидентов. По сработавшим правилам защиты можно осуществлять поиск. Все правила в системе привязываются к отдельным пользователям или группам. То, что разрешено одной группе пользователей, может быть запрещено другой.

Пользователи могут работать как в периметре корпоративной сети, так и за его пределами без доступа к серверу, например, на территории клиента или в командировке. Соответственно, администратор DLP-системы может создать два набора правил для той и другой ситуации. На основе статистического и поведенческого анализа пользователя, сервер «Кибер Протего» формирует его досье, доступное в виде карточки.

В новой версии «Кибер Протего» 10.5 реализована функциональность контроля рабочего времени сотрудников. Насколько активно работал пользователь, в каких приложениях, сколько времени и т.д — вся информация будет доступна сотруднику ИБ-подразделения на сервере DLP-системы.

Рис.4. Активность сотрудников. Отчет, пример 1

Рис.5. Активность сотрудников. Отчет, пример 2

Путь пингвина

Разработка DLP-системы «Кибер Протего» долгое время велась в парадигме Microsoft Windows. Сегодня на волне укрепления цифрового суверенитета ведется активная работа по реализации всей накопленной функциональности в российских операционных системах, в основе которых лежит Linux. Уже обеспечена поддержка трех самых популярных российских ОС — Astra Linux, ALT Linux и «Ред ОС». Реализован контроль и мониторинг на уровне агента для устройств: съемных накопителей, USB и принтеров. Ведется журналирование, работают «белые списки» устройств и тревожные оповещения по протоколам SMTP и syslog.

В новой версии 10.5 разработчики реализовали контроль буфера обмена в терминальных сессиях на Linux, сразу в обоих направлениях передачи данных и с поддержкой контентной фильтрации. Пока эта функциональность поддерживается в ОС Astra Linux, но в дальнейшем разработчики добавят и другие операционки. Linux-версия «Кибер Протего» уже в течение нескольких месяцев проходит опытную эксплуатацию в одном из крупнейших российских банков. В ближайших планах — развитие контроля терминальных сессий в Linux, в том числе и работа с проброшенными USB-устройствами.

Еще одно нововведение — кроссплатформенный сервер управления с веб-консолью, который позволяет управлять агентами для Linux. Таким образом, заказчики с ИТ-инфраструктурой на Linux уже получают базовую DLP-систему, функциональность которой пока ограничена мониторингом и контролем устройств и терминальных сессий, однако разработчики активно работают над развитием этого направления.

Преимущества для бизнеса

Согласно данным Ponemon Institute, 90% организаций чувствуют уязвимость перед инсайдерскими угрозами, а 25% утечек данных связаны с небрежностью сотрудников. «Кибер Протего» решает эти проблемы, предлагая, с одной стороны, превентивную защиту, обеспечивающую контроль всех каналов передачи данных и хранилищ. С другой стороны, конкурентным преимуществом «Кибер Протего» можно назвать гибкость — возможность выбора между строгим контролем и мониторингом без блокировок. Система уже доказала свою эффективность в крупных российских банках и предприятиях, включая проекты с более чем 40 тысячами рабочих станций.