Сергей Вахонин "Эффективная защита от утечек данных"

1. 1
Программный комплекс
DeviceLock 7.2 Endpoint DLP Suite.
Эффективная защита от утечек данных.
Презентация для конференции
Вахонин Сергей
Директор по ИТ
DeviceLock, Inc.
#codeIB
Екатеринбург,
5 сентября 2013 г.

2. 2
Факты
Более 70 000 клиентов и более 5 000 000 инсталляций по всему миру
Международный лидер
разработки
программных средств
для защиты
от утечек данных
с корпоративных
компьютеров (DLP)
Зарубежные офисы продаж и технической поддержки
США, Канада, Великобритания, Германия, Италия
Основана в 1996 году Штаб-квартира и основной офис разработки
находятся в Москве
Основной
разрабатываемый
продукт – DeviceLock
Endpoint DLP Suite
Крупнейшие инсталляции – более 70 тыс. компьютеров (США), более 30 тыс. (РФ)
Информация о компании

3. 3
в России
Примеры внедрения
«Опыт эксплуатации DeviceLock в Банке показал, что этот продукт является достаточно функциональным и надежным,
вопрос о его замене не рассматривался – и сегодня DeviceLock контролирует около 8000 рабочих мест. Также мы видим,
что разработчики системы DeviceLock постоянно совершенствуют свой продукт, наполняя его новым востребованным
функционалом, что дает нам надежду, что данный продукт и дальше будет сохранять свою лидирующую позицию на
данном рынке.».
Дмитрий Эдуардович Шпонько,
Начальник отдела защиты информации УИБ ДБ Банка ВТБ24
Информация о компании

4. 4
Каналы утечки данных
Проблематика утечки данных
Согласно исследованиям Ponemon Institute и Symantec, более 60%
увольняемых сотрудников «сохраняют за собой» конфиденциальные данные
своих компаний
Рост популярности облаков,
доступность мобильных устройств
Высокая доступность и емкость мобильных
устройств и устройств хранения данных
Социальные сети
Личные ящики веб-почты
и онлайн-службы мгновенных сообщений
Сайты облачных файловых хранилищ
ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ РАБОЧИХ
СТАНЦИЙ АКТУАЛЬНО КАК НИКОГДА РАНЕЕ

5. 5
Skype становится межкорпоративным стандартом взаимодействия
Проблематика утечки данных
Более 300 миллионов активных пользователей
35% пользователей Skype – малый и средний бизнес,
основное средство коммуникаций
С 08.04.2013 прекращена поддержка Live Messenger,
пользователи переведены в Skype; Microsoft
объединила Lync и Skype; Skype интегрирован в
Outlook 2013/365
Поддерживается для любой ОС
Позволяет чат, быструю передачу файлов,
аудио- и видео-конференции
Все коммуникации в Skype зашифрованы,
перехват на уровне корпоративных шлюзов
невозможен

6. 6
Модель BYOD представляет огромную угрозу ИТ безопасности
Мобильные устройства
распространены повсеместно
Модель BYOD становится нормой
ДИЛЕММА «ПРЕДОСТАВЛЕНИЕ
ДОСТУПА - ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ»
Microsoft
RDP / RemoteFX
Citrix ICA/HDXCorporate Data
iPad’ы, iPhone’ы, iPod’ы, смартфоны и планшеты на
платформе Android и Windows, лаптопы и домашние
компьютеры
Традиционный сетевой периметр
неспособен контролировать личные устройства
Все они напрямую подключаются корпоративной
сети и позволяют «вытаскивать» информацию из нее
Проблематика утечки данных

7. 7
DeviceLock Endpoint DLP Suite
"С введением режима конфиденциального
документооборота на предприятии и
согласованного плана мероприятий по
обеспечению защиты информации от разного
рода угроз, руководство Завода приняло решение
использовать программное обеспечение
DeviceLock российской компании Смарт Лайн Инк,
как одно из средств защиты информации.
Отдел информационных технологий
Челябинского механического завода изучил
аналогичные программные продукты с целью
предотвращения утечки конфиденциальной
информации, и по наиболее приемлемому
соотношению цена/качество предпочтение было
отдано именно DeviceLock"
Михаил Мещеряков,
Начальник отдела информационных технологий
Комплекс состоит из трѐх взаимодополняющих
отдельно лицензируемых функциональных
компонентов
Контекстный
контроль
Контентный
контроль
DeviceLock
Контроль периферийных устройств и интерфейсов
подключения, централизованное управление
(инфраструктурное ядро архитектуры комплекса)
NetworkLock
Всесторонний контроль сетевых коммуникаций
ContentLock
Технологии контентного анализа и фильтрации
DeviceLock DLP Suite – первая российская DLP-система

8. 8
Награды и достижения
DeviceLock Endpoint DLP Suite
DeviceLock отмечен наградами и титулами рядом
авторитетных российских и зарубежных изданий и
независимых аналитических агентств
Независимая аналитическая компания The Radicati Group
признала компанию DeviceLock одним из ключевых
разработчиков DLP-систем в своем последнем детальном
аналитическом отчете “Content-Aware Data Loss Prevention
Market, 2013-2017”
DeviceLock DLP Suite 7.1 получил 5 звезд и знак
"Рекомендовано" от журнала SC Magazine в 2013 и 2012 г.г.
Максимальная оценка в 5 звезд дана по всем пунктам обзора:
функционал, простота использования, производительность,
документация, поддержка, цена-качество
DeviceLock назван победителем ежегодного обзора 2013 года
“Выбор читателей” издания WindowSecurity.com
Компания Смарт Лайн Инк отмечена Золотой медалью
Национальной отраслевой премии «ЗУБР» в категории
«Кибербезопасность» за DeviceLock 7.2
Более 70 000 клиентов и более 5 000 000 инсталляций по
всему миру

9. 9
Контролируемые каналы утечки данных
DeviceLock Endpoint DLP Suite
Флэшки и другие съѐмные
носители с интерфейсом
подключения USB
Смартфоны
CD и DVD R/RW
Карты памяти стандартов
Compact Flash и SD
Bluetooth
Устройства,
перенаправленные в
терминальную сессию
iPad’ы, iPhone’ы и iPod’ы
Цифровые фотоаппараты
FireWire
Принтеры (канал печати)
Социальные сети
Корпоративная почта
(SMTP, MAPI)
Облачные
файлообменные сервисы
HTTP / HTTPS
Веб-почта
Службы мгновенных
сообщений, Skype
FTP / FTPS
Общие сетевые ресурсы
(SMB)
Telnet
Буфер обмена
Полностью программное решение, не
требующее дополнительных аппаратных
модулей
Защита от локальных утечек данных
непосредственно на источнике угрозы
Полная интеграция в групповые политики
Active Directory

10. 10
Архитектура программного комплекса DeviceLock
DeviceLock Endpoint DLP Suite
Терминальная сессия
Групповые политики
Контроллер домена
Active Directory
Сеть
Консоли управления
DeviceLock
Management Console
DeviceLock
Enterprise Manager
DeviceLock WebConsole
DeviceLock
GroupPolicy Manager
Агенты DeviceLock
Service
Компоненты
DeviceLock, NetworkLock,
ContentLock
(для физических компьютеров
и терминальных сессий)
DeviceLock Search Server
SQL Server Может быть использована бесплатная
редакция SQL Express для небольших сетей/объемов
хранения данных аудита и теневого копирования
DeviceLock Enterprise Server
Дополнительно лицензируется компонент DeviceLock
Search Server – по числу индексируемых документов
и записей в БД аудита и теневого копирования
Остальные компоненты и функции комплекса (консоли управления, апплеты, отчеты,
сервер DeviceLock Enterprise Server) не лицензируются и могут быть использованы в
любом количестве в соответствии с требованиями инфраструктуры организации
Программный комплекс DeviceLock Endpoint DLP Suite лицензируется строго по числу защищаемых компьютеров (т.е. тех, на которых
установлен Агент DeviceLock – DeviceLock Service или по числу защищенных терминальных сессий).
** Использование групповых политик контроллера домена Active Directory является опциональным, но наиболее оптимальным способом
развертывания и управления DeviceLock Endpoint DLP Suite.
* В архитектуре DeviceLock Endpoint DLP Suite отсутствует такой компонент, как выделенный сервер управления.

11. 11
Технологии для контроля данных
DeviceLock Endpoint DLP Suite
Детальное событийное протоколирование действий пользователей, административных
процессов и состояния комплекса, включая теневое копирование данных, с хранением
данных в централизованной базе данных и поддержкой собственного сервера
полнотекстового поиска данных. Система построения отчетов.
Интеграция с внешними программными и аппаратными средствами шифрования
съѐмных носителей (определение прав доступа к шифрованным носителям).
Задание разных политик для компьютеров в режимах online/offline с автоматическим
распознаванием режимов.
Оповещения системы безопасности о событиях в реальном времени.
Блокировка аппаратных кейлоггеров (USB и PS/2).
Гранулированный контроль доступа пользователей ко всем типам устройств и портов
локальных компьютеров, в т.ч. канала локальной синхронизации с мобильными
устройствами. Контроль наиболее применимых каналов сетевых коммуникаций.
Распознавание реального типа файлов для расширения возможностей контроля, аудита и
теневого копирования. Более 4 000 типов (форматов) файлов с возможностью расширения
для новых форматов.
Встроенная защита агентов от несанкционированных воздействий пользователей
и локальных администраторов. Автоматизированный мониторинг состояния агентов и
применяемых политик.

12. 12
Компонент DeviceLock: контроль устройств и интерфейсов
Устройства хранения данных,
буфер обмена
Флеш-накопители,
карты памяти
Интерфейсы
подключения
Терминальные сессии
и виртуальные среды
Канал
печати
Мобильные
устройства
Компонент DeviceLock обеспечивает контроль доступа к устройствам и интерфейсам, событийное протоколирование (аудит), тревожные
оповещения и теневое копирование, а также реализует такие функции, как Белые списки USB-устройств и CD/DVD носителей, защиту агента
DeviceLock от локального администратора, поддержку сторонних криптопродуктов, обнаружение и блокирование аппаратных кейлоггеров и др.
Компоненты комплекса DeviceLock Endpoint DLP Suite

13. 13
Компонент NetworkLock: защита от угроз сетевого происхождения
 MAPI
 SMTP
 SMTP-SSL
Социальные
сети
Службы
мгновенных
сообщений
Сетевые сервисы
файлового обмена и
синхронизации,
внутрисетевые
файловые ресурсы
Почтовые
протоколы и
web-почта
Интернет-
протоколы
 HTTP/HTTPS
 FTP
 FTP-SSL
 Telnet
Компонент NetworkLock обеспечивает избирательный контекстный контроль каналов сетевых коммуникаций, событийное протоколирование
(аудит), тревожные оповещения и теневое копирование для них.
Компоненты комплекса DeviceLock Endpoint DLP Suite

14. 14
Контроль, аудит и теневое
копирование для каналов сетевых
коммуникаций: почтовые сервисы
(SMTP, MAPI, веб-почту), службы
мгновенных сообщений, социальные
сети, файлообменные сервисы,
внутрисетевые файловые ресурсы
(SMB), интернет-протоколы FTP, HTTP и
т.п.
Функция «белого списка» с
настраиваемыми сетевыми и
идентификационными параметрами:
IP-адреса, их интервалы, подсети, списки,
порты, критерий «больше / меньше»,
пользовательские идентификаторы и группы,
почтовые адреса, идентификаторы служб
мгновенных сообщений
Компоненты комплекса DeviceLock Endpoint DLP Suite
Встроенный базовый IP-брандмауэр позволяет выборочно блокировать сетевые соединения, не
контролируемые DPI-подсистемой модуля в рамках классификации сетевых протоколов.
Передача полученных данных модулю ContentLock для контентной фильтрации.
Контроль HTTP и SOCKS соединений, устанавливаемых через прокси.
Опциональный компонент, позволяющий осуществлять контроль, аудит и теневое
копирование файлов и данных, передаваемых по сети с использованием ряда сетевых
протоколов.
Компонент NetworkLock: защита от угроз сетевого происхождения

15. 15
NetworkLock: Гибкий подход к задаче контроля электронной почты
Серверные DLP-системы, предназначенные для контроля почты, не решают задачу контроля
почтовых веб-сервисов – только почтового трафика, проходящего через шлюз.
Модуль NetworkLock позволяет контролировать как передачу почты через почтовый
клиент, так и доступ через браузер к почтовым веб-сервисам.
Компоненты комплекса DeviceLock Endpoint DLP Suite
NetworkLock позволяет выборочно для отдельных сотрудников или групп пользователей разрешить
или запретить возможность отправки почтовых сообщений по открытым и SSL-защищенным SMTP-
сессиям и протоколу MAPI, используемому сервером Microsoft Exchange, а также отправку почтовых
сообщений из браузера в почтовых веб-сервисах.
При этом можно задать расширенные DLP-политики, ограничивающие пользователей в
прикреплении к электронным письмам различных вложений – документов, файлов, архивов…
с точностью до типа документа, размера файла и содержимого передаваемого вложения.
MAPI
"Время, когда основным защитным средством от угроз ИБ являлся корпоративный антивирус, давно прошло. Появились
новые угрозы, да и бизнес предъявляет все новые требования – современный IT-специалист должен иметь максимально
полный арсенал программно-аппаратного обеспечения и доступов для эффективного выполнения служебных
обязанностей. Конечно, все необходимые для работы доступы предоставлялись, а вот эффективного
автоматизированного контроля ранее реализовано не было. На момент приобретения DeviceLock данный продукт
практически не имел конкуренции. При этом отсутствие больших и не разрешимых проблем в эксплуатации DeviceLock,
оказание оперативной и квалифицированной технической поддержки, а также развитие продукта в ногу со временем
свидетельствует о том, что мы сделали правильный выбор."
Олег Хрусталев, Специалист по ИБ Ассоциации CBOSS

16. 16
NetworkLock: Белый список сетевых протоколов
Возможности Белого списка могут быть с успехом использованы для расширенного
решения задачи контроля почтового трафика – можно ограничить область адресатов
почтовых сообщений до известных службе безопасности доменов, разрешить
использование только допустимых почтовых ящиков и сервисов и т.д.
По аналогии с Белым списком USB-устройств в модуле DeviceLock, в модуле NetworkLock реализован «Белый
список» сетевых протоколов, позволяющий гибко предоставлять доступ ключевым сотрудникам только к тем
сервисам и узлам, которые необходимы им для работы.
Компоненты комплекса DeviceLock Endpoint DLP Suite
Реализация сценария «минимальные привилегии»:
Расширенный гибкий контроль сетевых протоколов
в зависимости от ряда параметров
Диапазоны IP-адресов,
Диапазоны портов
Типы протоколов и приложений
Идентификаторы локальных
пользователей/адреса
e-mail, имеющих право отправлять
мгновенные сообщения и почту
(Local Sender)
Допустимые получатели мгновенных
сообщений и почты (Remote Recipient)

17. 17
Компонент ContentLock: контентный анализ и фильтрация
Контентный анализ электронной
почты и веб-почты; служб
мгновенных сообщений,
социальных сетей и передаваемых
по сети файлов; канала печати,
съемных носителей и др. типов
устройств – в более чем 80 типах
файлов и документов.
Контентный анализ для
данных теневого копирования.
Комбинирование различных
методов фильтрации на базе
различных численных и логических
условий.
Поиск по ключевым словам с применением
морфологического анализа и использованием
промышленных и отраслевых словарей.
Анализ по шаблонам регулярных выражений с
различными условиями соответствия
критериям, в т.ч. встроенным.
Анализ по расширенным свойствам
документов и файлов, считывание отпечатков
Oracle IRM.
80+
Контроль данных в архивах и составных
файлов, детектирование текста в графике.
Компоненты комплекса DeviceLock Endpoint DLP Suite

18. 18
Компонент DeviceLock Search Server
DeviceLock Search Server - модуль комплекса DeviceLock Endpoint DLP Suite,
позволяет проводить быстрый и удобный аудит безопасности, расследования
инцидентов, криминологический анализ.
Автоматически распознаѐт, индексирует, находит и отображает документы
• 80+ файловых форматов:
• Adobe Acrobat (PDF), Ami Pro, архивы (GZIP, RAR, ZIP), Lotus 1-2-3, Microsoft Access,
Microsoft Excel, Microsoft PowerPoint, Microsoft Word, Microsoft Works, OpenOffice
(документы, таблицы и презентации), Quattro Pro, WordPerfect, Wordstar и многих
других;
• По определѐнным параметрам записи.
Производит полнотекстовый поиск по базам данных теневого копирования (в том
числе внутри сохраненных файлов) и журналам аудита, хранящимся на сервере
DeviceLock Enterprise Server (в связанной SQL-базе данных).
• Индексирование и поиск: комбинация слов, фраз, регулярных выражений,
специальных символов, численных диапазонов, полей документов, записей
журналов аудита;
• Морфологический поиск и фильтрация «стоп-слов».
Сортирует результаты поиска по ряду параметров.
Компоненты комплекса DeviceLock Endpoint DLP Suite

19. 19
Рабочая станция
+
локальный DLP-агент
(Endpoint Agent)
Endpoint DLP-система
DeviceLock
Wi-Fi, 3G
Локальная
синхронизация
Съѐмные
носители
Локальные
принтеры
Локальная
сеть
Удаленная
терминальная
сессия (RDP)
Технологии DeviceLock Virtual DLP
Технологии Virtual DLP

20. 20
Технологии DeviceLock Virtual DLP
Доступ к корпоративным
данным –
только на время работы.
DLP-политики позволяют передачу между двумя средами только необходимых для сотрудников бизнес –
данных.
DLP-защита для виртуальных сред и BYOD-модели, основанной на виртуализации рабочих сред и приложений,
является универсальной и работает на всех видах личных устройств.
Использование виртуальной рабочей среды вместо локального контейнера
Отсутствие зависимости от особенностей реализации мобильной платформы:
применимость на любых персональных устройствах (планшеты, лэптопы, тонкие клиенты, домашние
компьютеры с любыми операционными системами).
DLP-агент функционирует внутри терминальной сессии (в виртуальной среде)
Технологии Virtual DLP
DeviceLock: Интеграция DLP-технологий в терминальную среду.

21. 21
Используется
виртуальная рабочая
среда,
с подключением через
браузер по протоколу
HTML5 через RDP-
HTML5 прокси.
Локальные
устройства и буфер
обмена
перенаправлены в
терминальную сессию.
DeviceLock перехватывает обращения к перенаправленным устройствам и в
режиме реального времени осуществляет проверку, допустимо ли их
и специфические операции с данными.
DeviceLock проверяет содержимое (контент) передаваемых данных на предмет
их соответствия DLP-политикам.
Ведется аудит и теневое копирование передаваемых данных,
отправляются тревожные сообщения (алерты).
Сценарий использования DeviceLock для DLP-защиты в модели BYOD
Технологии Virtual DLP

22. 22
Пример использования DeviceLock для DLP-защиты в модели BYOD
Технологии Virtual DLP
На iPad используется приложение MS Outlook, с подключением через Remote Desktop (RDP).
Проверка контента передаваемых данных на предмет их соответствия DLP-политикам.
Аудит и теневое копирование передаваемых сообщений, алерты.

23. 23
Спасибо за внимание!
Сергей Вахонин
Директор по ИТ
sv@devicelock.com