Подписаться
Читать в телеграм
Внешний вид: эргономично и стильно
Обычно знакомство с машиной начинается с ее внешнего вида. Водителю нужно, чтобы приборная панель автомобиля была интуитивно понятна, удобна в использовании и позволяла быстро получить всю необходимую информацию. В комплексе «Дозор-Джет» в качестве приборной панели выступает интерфейс офицера ИБ. Интерфейс за несколько секунд позволяет оценить состояние нашей «DLP-машины»: не закончилось ли свободное место в базе данных, выполняется ли обработка писем, обнаружены ли инциденты и т.д. При его разработке мы учитывали требования функциональности и эргономики: офицер ИБ должен быстро получить интересующую его информацию, при этом «приборная панель» не должна быть перегружена.
Сердце железного коня
Одной из самых главных частей машины считается двигатель. Мы полагаем, что это вполне справедливо и для комплекса защиты от утечек информации. Двигателем нашей «машины» является центральная часть комплекса – система архивирования и анализа. В ней находятся фильтры, обеспечивающие основной функционал DLP-решения – разбор и анализ перехваченных сообщений. Мощности «двигателя» хватает, чтобы разбирать все вложения до самого последнего уровня. Многочисленное число настроек позволяет выполнить тонкий «тюнинг» двигателя для выделения максимально полезной информации из всего потока.
И чтобы ехала сама
Наряду с двигателем важной частью автомобиля является трансмиссия: она использует его для приведения машины в движение. При этом в современных условиях перегруженности дорог автоматическая коробка передач является настоящим спасением. То же, по большей части, относится и к «DLP-машине»: информационный поток очень велик, и необходим инструмент, позволяющий повысить комфорт использования системы и упростить ее эксплуатацию. Основная задача здесь – максимально сократить время, затрачиваемое офицером ИБ на эксплуатацию решения.
В роли автоматической коробки передач в «DLP-машине» «Дозор-Джет» выступают два инструмента: модуль идентификаторов IDID и модуль цифровых отпечатков DIFI. Они оба призваны автоматизировать процесс анализа сообщений, разобранных системой архивирования и анализа. Модуль идентификаторов IDID позволяет простым проставлением «галочек» в интерфейсе обнаруживать и обрабатывать различные идентификаторы в теле перехваченного сообщения. В табл. 1 приведен их краткий список.
Табл. 1. Перечень анализируемых модулем IDID идентификаторов
Этот функционал позволяет значительно упростить разбор сообщений и поддерживать соответствие таким законам и стандартам, как ¹ 152-ФЗ и PCI DSS.
Модуль цифровых отпечатков DIFI призван обнаруживать определенные документы. В начале работы создается база эталонных документов, распространение которых необходимо контролировать. Далее с них формируются цифровые отпечатки. Все перехваченные сообщения проходят проверку на соответствие эталонам из базы, причем обнаруживается как полное, так и частичное совпадение. Например, если из финансового отчета взяли всего несколько таблиц и абзацев текста, модуль обнаружит сходство определенного процента с эталоном «финансовый отчет».
Далеко ли уедем?
Топливным баком в нашей «DLP-машине» является архив сообщений. Как известно, водителю нужен вместительный топливный бак. Так и в случае с архивом: одним из главных требований к DLP-системе является долговременное хранение большого объема данных. Архив комплекса «Дозор-Джет» может вмещать в себя практически неограниченное количество писем. Так, мы реализовывали проекты с хранилищем в 100 ТБ.
Помимо вместимости, важным параметром является и скорость работы с архивом. Отметим, что технология использования файлового хранилища, реализованная в решении «Дозор-Джет», позволяет вывести ее на новый уровень. Суть технологии заключается в том, что в БД попадают только метаданные о письме: заголовки и текстовый индекс. Само тело письма хранится в файловом хранилище. Это значительно экономит место, а скорость работы архива в некоторых случаях увеличивается до сотни раз.
Рис. 2. Общая схема комплекса «Дозор-Джет»
Если отойти от аналогии с автомобилем, схема комплекса может быть представлена в следующем виде:
Чем заправлять?
Топливом для «DLP-машины» выступают сообщения с различных сервисов, наполняющие наш бак-архив. Нужно сказать, что бензоколонкой в нашей аналогии является система пассивного перехвата сообщений. Ÿ производительность позволяет обрабатывать до 10 Гбит/с. Причем топливо может быть совершенно разным – от сообщений, передаваемых через интернет, до файлов, отправляемых на печать/копируемых на флешку, или голосовых вызовов Skype (см. рис. 1).
Интересной особенностью системы является метод детектирования сообщений: в данном случае используется сигнатурный анализ. Эта технология позволяет с очень высоким процентом точности определить сервис, на который было отправлено сообщение, т.е. использование так называемых анонимайзеров не введет комплекс в заблуждение.
Рис. 1. Виды топлива «DLP-машины» – иллюстрация перехватываемых сервисов
В итоге мы получаем полнофункциональную «DLP-машину» – современное средство, комфортно и оперативно доставляющее к цели. Ее двигателем является система архивирования и анализа, автоматической коробкой передач – модули IDID и DIFI, топливным баком – архив, а самим топливом – сообщения, перехватываемые практически с любого вида сервиса обмена информацией.
