Symantec dlp что это

Обновлено: 06.07.2024

Symantec DLP использует технологию анализа содержимого нового поколения. Нарушения установленных политик обрабатываются автоматизированной системой управления инцидентами с функциями ролевого доступа сотрудников ИТ-департамента. Технология снятия «цифровых отпечатков» (Digital Fingerprints) применима к любым типам документам, включая текстовые, аудио и видео документы, чертежам, а также для баз данных (SQL, Oracle и т.д.), отдельных таблиц или их частей. Наряду с инновационной технологией снятия «цифровых отпечатков», Symantec также поддерживает традиционные методы: распознавание и отслеживание по ключевым словам, словарям, регулярным выражениям. Помимо средств предотвращения утечек на уровне сети в арсенале Symantec DLP также имеется агент для рабочих станций – Symantec DLP Endpoint. С его помощью обеспечивается предотвращение утечек на сменные носители информации (USB, CD/DVD и пр.), проверка содержимого при выводе на печать (с возможностью блокировки), а также слежение за буфером обмена (функция Copy/Paste).

Symantec Data Loss Prevention 11

Новая версия решения будет включать в себя самообучаемый алгоритм анализа данных Vector Machine Learning (VML). VML – первая и единственная на рынке технология анализа и предотвращения утечек данных, основанная на принципах искусственного интеллекта и способная самостоятельно идентифицировать данные, доступ к которым должен быть ограничен. Кроме того, Symantec Data Loss Prevention 11 повышает эффективность процесса реагирования на инциденты при помощи усовершенствованной технологии Data Insight , а также предусматривает дополнительные меры безопасности на конечных точках.

Больше данных – больше рисков

Объем неструктурированных данных растет более чем на 60% в год. Как следствие, постоянно усложняется управление ими, и становится все сложнее обеспечивать их защиту. Наиболее ценная информация предприятий – их интеллектуальная собственность – часто теряется в растущем объеме неструктурированных документов, большинство из которых не являются конфиденциальными. Хранилища неструктурированных данных обычно слабее защищены, что делает их более уязвимыми для внутренних и внешних угроз. Как показали результаты целевых атак, таких как Hydraq и других широко известных случаев потери внутренних данных, объекты интеллектуальной собственности сейчас более уязвимы, чем когда-либо ранее.

Vector Machine Learning самостоятельно обнаружит данные, требующие защиты от утечек

Организация должна идентифицировать конфиденциальные документы до того, как предпринимать шаги по их защите. Предотвращение потери данных традиционно основывалось на двух категориях технологии определения данных: методе «цифровых отпечатков» и описании информации. Метод «цифровых отпечатков» предполагает сбор всех документов, которые подлежат защите и применения к каждому файлу уникального индектификатора - «цифрового отпечатка». Альтернативный подход (описание данных) предполагает определение типовых выражений и списка ключевых слов для идентификации критических документов. Метод «цифровых отпечатков» может представлять значительные трудности для организаций с широко рассредоточенными данными, а разработка правил, описывающих данные, может оказаться очень трудоемким процессом, результаты которого могут быть менее точными, чем при использовании метода «цифровых отпечатков».

Vector Machine Learning – инновационная технология анализа, разработанная Symantec. Она призвана преодолеть ограничения существующих технологий идентификации документов. Используя образцы используемых данных, программное решение на базе алгоритмов Vector Machine Learning можно научить узнавать ключевые характеристики и определять внутренние различия конфиденциальных и неконфиденциальных данных. Такой подход устраняет необходимость создания правил, основанных на ключевых словах, а также потребность в применении «цифровых отпечатков» к новым документам при их создании. Принцип работы технологии Vector Machine Learning позволяет создать точные правила идентификации документов на основании анализа примеров документов, а в дальнейшем, усовершенствовать точность правил по мере выявления и обработки системой позитивных и негативных примеров документов.

Data Insight упрощает процесс защиты информации

Решение Symantec Data Loss Prevention 11 включает усовершенствованную технологию Symantec Data Insight, которая улучшает процесс реагирования на инциденты путем определения наиболее уязвимых мест хранения данных и автоматического уведомления об этом пользователей. Новая функция ранжирования рисков Risk Scoring будет создавать рейтинг папок для восстановления с учетом объемов и уровня критичности данных, содержащихся в папках, а также параметров доступности папки. Новая функция восстановления данных Data Owner Remediation будет автоматически предупреждать пользователей по e-mail о потенциальных рисках, которым подвергаются их данные, хранящиеся в общих центрах обработки данных. Такой комплекс мероприятий повысит эффективность защиты данных организаций.

Защита «конечных точек» стала ещё надёжнее

Symantec Data Loss Prevention 11 представит дополнительные возможности для работы в конечных точках, включая новые функции, которые позволят организациям разрешать пользователям работу с большим количеством приложений и устройств для хранения данных, при этом поддерживая высокий уровень защиты. Функция контроля доступа к приложениям Application File Access Control призвана обеспечить поддержку таких пользовательских программ, как iTunes, Skype и WebEx не подвергая риску конфиденциальные данные. Функция Trusted Devices обеспечит поддержку использования широкого спектра устройств хранения и ограничит возможность копирования конфиденциальных данных. Можно разрешить копирование только на санкционированные носители (например, носители, выданные и контролируемые компанией). Еще одна новая функция в данной версии решения – Endpoint FlexResponse, она упрощает защиту данных конечных точек путем интеграции с другими решениями от Symantec, а также решениями сторонних производителей, например, для шифрования данных и программ управления правами предприятий (Enterprise Rights Management, ERM).

Symantec Data Loss Prevention 11.5

Версия продукта Symantec Data Loss Prevention 11.5, комплексного решения для поиска, отслеживания и защиты конфиденциальных данных с учетом их содержания, имеет ряд ключевых преимуществ и позволяет, в частности:

  • препятствовать неконтролируемому распространению конфиденциальных данных за пределы предприятия через сеть, сетевые хранилища и компьютеры работников;
  • выявлять приводящие к утечке конфиденциальных данных нарушенные бизнес-процессы;
  • осуществлять мониторинг и защиту передачи важной информации на общедоступные веб-сайты;
  • определять и развертывать универсальные политики общекорпоративного уровня безопасности.

Технологии ABBYY применяются в DLP-решении Symantec для распознавания информации на изображениях

OCR-технологии ABBYY используются в DLP-решении компании Symantec для распознавания и блокировки передачи конфиденциальных данных на изображениях. Решение Symantec Data Loss Prevention позволяет минимизировать вероятность утечки информации за счет оперативного анализа ее перемещения, при этом используются передовые технологии анализа данных.

При утечке информации, критичной для организации, велика вероятность финансовых потерь или снижения доверия к компании со стороны ее клиентов и партнеров. Компании выбирают разные процессы создания, хранения и обработки данных, поэтому зачастую информация хранится и передается не только в текстовом, но и в графическом формате. Например, важные документы могут быть в виде отсканированных копий бумажных документов или скриншотов.

Решение Symantec DLP при помощи OCR-технологий ABBYY открывает новые возможности по защите конфиденциальной информации для компаний, использующих СЭД или практикующих перевод бумажной документации в электронные копии. Технологии ABBYY помогают обрабатывать потоки графических данных, не лишая решение Symantec DLP возможности мгновенно блокировать передачу информации. При этом все процессы обработки остаются незаметными для пользователя и не вызывают временных задержек.

«При выборе поставщика технологий оптического распознавания текстов мы ориентировались на такие критерии, как надежная репутация производителя, инновационные идеи и технологии, высокое качество реализации решений, и, конечно, обязательная поддержка русского языка. ABBYY и ее технологии отвечают всем нашим требованиям, и мы рады, что DLP-решение Symantec стало еще более совершенным с помощью OCR-технологий компании», – комментирует Александр Клиентов, технический консультант по информационной безопасности, Symantec.

От существующих решений связка ABBYY и Symantec DLP отличается значительным архитектурным и технологическим превосходством, а также масштабируемостью для обработки любых объемов передаваемых за пределы компании или хранимых во внутренних системах данных.

Компания Symantec является мировым лидером в разработке и внедрении DLP систем и уже давно зарекомендовала себя на этом рынке и в России.

Программный комплекс Symantec Data Loss Prevention (DLP) нацелен на интеграцию в компании, как с небольшим количеством пользователей, так и в крупные компании, количество пользователей в которых может превышать отметку в 100 тысяч.

Symantec DLP способен защитить информационные данные предприятия на всех ресурсах ИТ-инфраструктуры:

Модули Symantec DLP

Symantec Data Loss Prevention Enforce Platform. Управление политиками безопасности и постоянный мониторинг. Состоит из двух модулей: Enforce Platform - веб-консоль, позволяющая управлять политиками защиты от утечек информации, просматривать и своевременно разрешать инциденты безопасности, проводить анализ и составлять отчеты, а также выполнять некоторые работы по системному администрированию, а также из модуля System Data Loss Prevention IT Analytics, позволяет создавать отчеты для сторонних лиц (руководителей, аудиторов, партнеров и т. д.) с анализом эффективности данной DLP-системы.

Symantec Data Loss Prevention for Endpoint. Мониторинг и защита данных на настольных и портативных компьютерах. Состоит из трех модулей: Endpoint Discover проводит сканирование жестких дисков на наличие конфиденциальных данных; Endpoint Prevent обнаруживает и предотвращает утечку данных по электронной почте, облачному хранилищу, съемным носителям (USB-флешки, CD/DVD диски и т.д.), при печати и отправке факсов, а Агент конечных точек отслеживает работу как в физических системах (Windows, Mac OS), так и в виртуальных системах и приложениях (Citrix XenApp, VMware View и Microsoft Hyper-V).

Для многих предприятий перенос локальных приложений в облако позволяет повысить гибкость и снизить затраты. Но как реализовать преимущества облачных технологий без потери наглядности и контроля? Symantec DLP for Cloud решает эту проблему путем добавления надежных функций поиска, мониторинга и предотвращения утечки данных для облачных хранилищ и электронной почты, включая Microsoft Office 365 и Box.

Symantec Data Loss Prevention for Mobile. Отслеживание передачи данных на мобильные устройства. Состоит из двух модулей: Мониторинг электронной почты на мобильных устройствах обнаруживает загрузку конфиденциальных данных через email; Защита мобильных устройств сканирует и защищает исходящие сетевые соединения на мобильных устройствах (браузер, встроенная почта, Dropbox и так далее).

Symantec Data Loss Prevention for Storage. Отслеживание утечки конфиденциальных данных из корпоративной сети. Состоит из четырех модулей: Data Insight отслеживает и уведомляет о событиях при работе с конфиденциальными данными в зависимости от политик доступа каждого пользователя; Network Discover сканирование файловых серверов и общих каталогов, баз данных и хранилищ документов, в том числе Microsoft SharePoint и SharePoint Online, Documentum и LiveLink; Network Protect защита конфиденциальных файлов путем помещения зараженных файлов и папок в карантин, перемещения их в другие блоки или применения шифрования на основе политик и управления цифровыми правами (DRM); Портал самообслуживания: просмотр и исправление нарушений политик безопасности конфиденциальных данных, а также снижение рисков утечки информации.

Преимущества Symantec DLP

В программном комплексе Symantec DLP процедура обеспечения соответствия требованиям и защиты корпоративной конфиденциальной информации максимально упрощена. К защите информации Symantec подходит с учетом расплывчатых границ систем безопасности, которые эффективны сегодня, а также, растущего количества направленных атак и изменений требований пользователей и их привычек.

Основными преимуществами данного продукта можно считать:

  • способность расширять границы деятельности инструментов, предотвращающих утечки информации, на мобильные и облачные среды;
  • расширение области применения политик безопасности и выполнения требований за пределы сети;
  • предоставление проверенных методик развертывания, понятного на интуитивном уровне функционала управления политиками и инцидентами;
  • обширную поддержку каналов с высоким уровнем риска при владении с минимальной стоимостью.

Использование Symantec DLP защищает конфиденциальную информацию не только от кражи извне, но и от несанкционированной отправки с компьютеров компании. Более 80 % процентов утечек происходит по вине самих сотрудников. Обычно причинами утечки является низкая грамотность работы с компьютером, но возможны и случаи намеренной кражи. Благодаря использованию Symantec Data Loss Prevention Вы можете быть уверены в абсолютной сохранности важной информации.

Как работает Symantec DLP

Система Symantec Data Loss Prevention выполняет три основные функции:

  1. Контроль действий пользователей на локальных рабочих станциях. Осуществляется применительно к операциям, связанным с отторжением конфиденциальной информации: при записи на диск или USB-носитель, при передаче через локальную сеть или выводе на печать.
  2. Контроль и мониторинг перемещения секретных данных по сетевым каналам связи (Web, E-mail, интернет-пейджеры, FTP).
  3. Сканирование локальной сети на предмет неупорядоченного хранения важных документов. Symantec DLP контролирует все порталы, файловые серверы, конечные рабочие станции и системы документооборота.

Таким образом, Symantec Data Loss Prevention является самым надежным инструментом защиты как простых, так и сложных многоуровневых сетей.

Рассчитать стоимость Symantec DLP

В связи с особенностями лицензирования цена на Symantic Data Loss Prevention предоставляется по запросу.

Symantec Vontu Data Loss Prevention обеспечит организации расширенными возможностями по обнаружению, контролю и защите конфиденциальной информации и персональных данных, независимо от того, хранятся они или используется. Symantec предоставит компаниям полный комплекс средств предотвращения потери данных (data loss prevention - DLP), охватывающий ПК сотрудников, сеть и системы хранения данных, с унифицированным интерфейсом для защиты как структурированных (Базы Данных), так и неструктурированных (документы) данных.

Лидерство Symantec в области DLP опирается на непрерывные инновации, быструю реакцию на требования заказчиков и интеграцию с другими технологиями собственной разработки. К главным направлениям инноваций в новой версии Symantec Data Loss Prevention относятся расширенный охват событий для действий пользователей, упрощенное управление агентами DLP и расширенные возможности по обнаружению данных.


Полный охват событий, связанных с деятельностью сотрудников

Symantec Data Loss Prevention предотвращает копирование или передачу конфиденциальной информации и даже электронную распечатку этих данных или их передачу по факсу. Эти новые возможности дополняют существующие инструменты, предотвращающие копирование конфиденциальных данных в устройства USB и на диски CD/DVD. Опыт Symantec в области обнаружения контента, способность распознавать определенную информацию независимо от формата ее передачи также играет важную роль в достижении успеха DLP для конечных информационных ресурсов. Благодаря полному охвату событий DLP, связанных с действиями сотрудников, Symantec гарантирует бесперебойное предотвращение потери данных, независимо от того, работают ли сотрудники предприятия в корпоративной сети или находятся вне ее.

DLP для ПК сотрудников: простота установки и управления

Критическим фактором успеха при внедрении в организации новой технологии агентов служит способность решения выявить все конечные информационные ресурсы, успешно внедрить в них агент и при необходимости устранить неполадки. Для развертывания DLP на ПК сотрудников обычно требуется, чтобы эта технология в первую очередь применялась в подразделениях с высоким уровнем риска, и только после этого производится поэтапное внедрение в остальной части организации. Symantec Data Loss Prevention 8.1 поможет заказчикам упростить процесс внедрения систем DLP на конечных информационных ресурсах, а непрерывный контроль посредством технологии встроенного агента управления Symantec позволяет компаниям выявлять новые ПК, автоматически устанавливать на них агенты и проверять их работу. Благодаря введению проверенной технологии из семейства продуктов Symantec Altiris Symantec Data Loss Prevention обеспечит надежные средства управления конечными информационными ресурсами, применяемые более чем 22 тыс. компаний во всем мире.

"Непрерывное совершенствование решения DLP от Symantec делает его все более простым и эффективным средством защиты нашей информации по всему предприятию, - говорит старший менеджер по эксплуатации сети компании Management Information Services for Esurance Давид Афлак (David Aflak). - Усовершенствования, сосредоточенные на защите данных, такие как единая консоль управления для всех агентов, делают это решение еще более простым в развертывании и управлении в масштабах всей организации".


Улучшенное обнаружение данных

В дополнение к усиленной защите DLP, продолжается совершенствование Symantec Data Loss Prevention в сфере возможностей по обнаружению данных. Для обнаружения контента корпоративным заказчикам требуются два режима сканирования: традиционный режим, когда каждый файл в хранилище контента проверяется на нарушение политики безопасности, и режим соответствия нормативным требованиями, когда быстро выявляются серверы и системы хранения данных с нарушениями. Symantec обеспечивает обе эти возможности в одном решении, чего нет ни в одном из других современных продуктов.

Ускоренное сканирование хранилищ данных помогает компаниям быстро выявлять места, в которых содержится конфиденциальная информация, что позволяет им лучше оценивать риск и опасность нарушения нормативных требований. Например, режим Compliance Scanning существенно уменьшает время сканирования. Организации смогут также оценить риски, связанные с конфиденциальными данными, хранящимися в файлах PST. Наконец, компании смогут автоматически выявлять владельцев конфиденциальных данных, а это важно для удаления разбросанных конфиденциальных файлов и организации масштабируемого процесса устранения нарушений.


Интеллектуальная интеграция продуктов

В дополнение к технологии Altiris для упрощения управления агентами DLP можно использовать платформу Symantec Management Platform (бывшая Altiris Platform), которая предназначена для управления агентами Symantec Endpoint Protection и Symantec Backup Exec System Recovery. Она поможет заказчикам Symantec рационализировать процессы развертывания, миграции с конкурирующих продуктов и безопасного конфигурирования конечных информационных ресурсов. Интеграция Symantec Data Loss Prevention и Symantec Brightmail Gateway предоставит заказчикам возможность проверять как входящий, так и исходящий трафик e-mail на наличие вредоносных программ, спама и рисков потери данных. Symantec DLP будет также сканировать резервные копии, создаваемые системой Symantec Backup Exec System Recovery.

"Интеллектуальная интеграция с такими решениями Symantec, как Symantec Management Platform, Brightmail Gateway и Backup Exec System Recovery, позволяет нам раздвинуть границы предотвращения потери данных и превзойти ожидания заказчиков, - говорит вице-президент Symantec по решениям для предотвращения потери данных Майкл Вульф (Michael Wolfe). - Сочетая свои взаимодополняющие, лидирующие технологии с глобальным охватом, Symantec помогает заказчикам во всем мире надежно предотвращать потерю конфиденциальной информации".

Система Symantec DLP выполняет 3 основные функции:

  • Мониторинг и контроль перемещения конфиденциальной информации по сетевым каналам связи (email, web, ftp, интернет-пейджеры);
  • Контроль действий пользователей на своих локальных рабочих станциях (применительно только к операциям, связанным с отторжением конфиденциального содержимого - на USB-накопитель, запись на диски, через локальные сетевые соединения или печать);
  • Сканирование корпоративной сети предприятия (в том числе файловые сервера, порталы, системы документооборота и конечные рабочие станции) на предмет неупорядоченного хранения сведений конфиденциального характера.


Таков же и модульный состав продукта Symantec DLP.

Symantec DLP Network Monitor (мониторинг)

Мониторинг и контроль перемещения конфиденциальной информации по сетевым каналам связи (email, web, ftp, интернет-пейджеры).

По количеству пользователей в корпоративной сети

Symantec DLP Email Prevent (контроль)

Symantec DLP Web Prevent (контроль)

Symantec DLP Network Discover (обнаружение)

Сканирование и защита корпоративной сети предприятия (файловые сервера, порталы, системы документооборота и конечные рабочие станции) от неупорядоченного хранения сведений конфиденциального характера.

Symantec DLP Network Protect (перемещение)

Symantec DLP Endpoint Discover

Контроль мобильных пользователей на локальных рабочих станциях (применительно к операциям, связанным с отторжением конфиденциального содержимого - на USB-накопитель, запись на диски, через локальные сетевые соединения или печать).

По количеству контролируемых рабочих станций пользователей, на которые будет установлены агентские программы

Symantec DLP Endpoint Prevent

Symantec DLP Enforce Platform

Центральная платформа управления и отчетности системы Symantec DLP

Oracle Standard Edition for Symantec DLP

Поставляется отдельно или можно использовать лицензию, имеющуюся в компании

Принципы работы продукта

Подготовка перечня секретной информации
Для того, чтобы решение Websense DSS заработало у клиента, потребуется предварительно выделить и классифицировать конфиденциальные сведения, которые планируется защищать. Документы в электронном виде необходимо сгруппировать по категориям (финансовые отчеты, персональные данные, и так далее), разложить по файловым папкам или сложить каждую группу в отдельный архив zip. Альтернативно, можно указать системе место хранения документов на сервере, например SharePoint.

Обучение системы на образцах секретной информации
Внедренная система обратится к хранилищу защищаемых документов, снимет цифровые отпечатки подготовленных документов.

Настройка политик
Администратор безопасности настраивает правила реагирования на перемещение секретных документов.

Обнаружение секретной информации
Система будет обнаруживать похожие документы в потоке трафика (электронная почта, web, ICQ, попытки записи на флешки).

Реагирование на инциденты
Если попадается конфиденциальный документ в потоке, то система Vontu DLP создаст инцидент безопасности, в котором будет указано, кто отправлял, по какому каналу и из какого источника взят этот защищаемый документ. Системе требуется, чтобы хотя бы 10% документа совпало с первоисточником.

Информация о нарушении передаётся ответственному лицу, которое может ознакомиться с письмом, отправленным его подчиненным, принять решение о возбуждении расследования, либо (если действие легитимно) - об изменении правила реагирования.

По рекомендациям разработчика, на обслуживание системы требуется 1 администратор безопасности на 10 000 человек.

Пример страницы интерфейса системы Symantec DLP:

Архитектура развертывания системы

Решение Vontu встраивается в существующую инфраструктуру заказчиков

В простейшем случае и наиболее востребованном варианте: "прозрачный режим" мониторинга почтового и web трафика:


Добавление функции перехвата не разрешенной к отправке корреспонденции, сканирования корпоративной сети, контроля устройств на рабочих станциях требует добавления по одному аппаратному модулю на каждый перехватчик.

Схема работы функции сканирования хранимой информации в сети:


Программный продукт Symantec Vontu Data Loss Prevention позволяет заказчикам выявлять утечки и защищать конфиденциальную информацию и персональные данные по всему предприятию. В его основе - технологии компании Vontu, приобретенной Symantec в декабре 2007 г., обеспечивающие расширенные возможности по обнаружению, контролю и защите конфиденциальной информации и персональных данных, независимо от того, хранятся они или используется. Решение Symantec обеспечивает компаниям полный комплекс средств предотвращения потери данных (data loss prevention - DLP), охватывающий ПК сотрудников, сеть и системы хранения данных, с унифицированным интерфейсом для защиты как структурированных (Базы Данных), так и неструктурированных (документы) данных.

Основные преимущества Symantec Data Loss Prevention - расширенный охват событий для действий пользователей, упрощенное управление агентами DLP и расширенные возможности по обнаружению данных. Symantec Vontu DLP позволяет предприятиям проводить сканирование баз данных SQL, таких как Oracle, SQL Server или DB2, быстро осуществляя инвентаризацию баз данных в процессе аудита или выявляя конфиденциальные данные, которые могли использоваться с нарушением правил. Ускоренное сканирование хранилищ данных на нарушение политики безопасности помогает компаниям быстро выявлять места, в которых содержится конфиденциальная информация, что позволяет им лучше оценивать риск и опасность нарушения нормативных требований. Например, режим Compliance Scanning существенно уменьшает время сканирования. Организации смогут также оценить риски, связанные с конфиденциальными данными, хранящимися в файлах PST. Наконец, компании смогут автоматически выявлять владельцев конфиденциальных данных, а это важно для удаления разбросанных конфиденциальных файлов и организации масштабируемого процесса устранения нарушений.

Symantec Data Loss Prevention предотвращает копирование или передачу конфиденциальной информации и даже электронную распечатку этих данных или их передачу по факсу. Эти новые возможности дополняют существующие инструменты, предотвращающие копирование конфиденциальных данных в устройства USB и на диски CD/DVD. Непрерывный контроль посредством технологии встроенного агента управления Symantec позволяет выявлять новые ПК, автоматически устанавливать на них агенты и проверять их работу.

Для упрощения управления агентами DLP можно использовать платформу Symantec Management Platform (Altiris Platform), которая предназначена для управления агентами Symantec Endpoint Protection и Symantec Backup Exec System Recovery. Она поможет заказчикам Symantec рационализировать процессы развертывания, миграции с конкурирующих продуктов и безопасного конфигурирования конечных информационных ресурсов. Интеграция Symantec Data Loss Prevention и Symantec Brightmail Gateway предоставит заказчикам возможность проверять как входящий, так и исходящий трафик e-mail на наличие вредоносных программ, спама и рисков потери данных. Symantec DLP будет также сканировать резервные копии, создаваемые системой Symantec Backup Exec System Recovery.

В ноябре 2009 года Symantec анонсировала новую версию Symantec DLP 10, которая стала доступна уже в декабре 2009 года. Открытая, локализованная DLP-платформа Symantec поможет защитить конфиденциальные данные и предотвратить их потерю, обеспечивая компании средствами шифрования/кодирования, а также корпоративными средствами защиты интеллектуальной собственности (ERM), основанными на контроле содержания. Кроме того, система будет интегрирована с дополнительными решениями Symantec.

В частности, новая версия Symantec DLP включает FlexResponse - новую функцию, которая поможет отделам безопасности применять политику защиты файлов, содержащих конфиденциальную информацию, с использованием шифрования и ERM. До нынешнего момента интеграция DLP с другими ИТ-решениями требовала ручного управления. Кроме того, благодаря партнерству с внешними поставщиками, включая GigaTrust, Liquid Machines, Oracle и PGP Corporation, Symantec предложил клиентам широкий ряд интегрированных опций исправления.

Например, компания, которая ограничивает доступ к соглашению по слиянию до небольшой группы лиц, легко сможет настроить DLP на политику классификации информации и использование Microsoft Active Directory Rights Management Services (ADRMS) для применения ERM к копированию этой информации, чтобы обеспечить "гранулярную защиту".

В то же время, благодаря поддержке стандарта XML и веб-сервисов Symantec Data Loss Prevention 10 способна передавать полноценные данные по контролю утечек любым приложениям или системам отчетности, в том числе в Symantec Control Compliance Suite.

Новые возможности импорта/экспорта позволят компаниям совмещать текущую политику с новыми правилами, а также делиться опытом, обмениваясь политиками с другими пользователями.

За счет интеграции с Symantec Workflow пользователи Symantec Data Loss Prevention 10 смогут автоматически запускать основанные на политике процессы, такие как автоматическое шифрование и отключение доступа к конечной точке, при помощи Symantec Endpoint Encryption, Symantec Endpoint Protection и других решений ИБ от Symantec и сторонних поставщиков.

Symantec Data Loss Prevention

Направление защиты информационных ресурсов сегодня, безусловно, является одним из наиболее перспективных. Причин тому несколько и одна из основных это то, что информационные активы организации всегда были и будут иметь большое значение — от них напрямую зависит будущее компании, её успех. В сфере информационной безопасности есть два основных вопроса: как защищать и что защищать? Ответ на последний вопрос особенно актуален, так как в первую очередь нужно заботиться о критически важных данных: личной информации, коммерческой тайне, технической документации и т.п.

Существует множество путей, которыми электронная информация может покинуть отведённое для неё рабочее пространство и попасть совсем не туда, не в те руки. Электронная почта — один из наиболее распространённых путей. Можно документы распечатать. Можно скопировать на внешний носитель, будь то USB-накопитель (попросту, флэшка) или записываемый компакт-диск. Сегодня даже MP3-проигрыватель может быть использован в качестве переносного носителя информации. Вспомним про WEB 2.0.

Многие компании понимают, что им есть, что терять, и DLP-решения начинают пользоваться заслуженным спросом. Не удивительно, что в авангарде украинских компаний, использующих DLP уже сейчас, мы видим представителей финансового сектора и крупных телекоммуникационных операторов. С развитой информационной инфраструктурой, такие компании готовы внедрять DLP-решения и понимают критичность и пользу подобных решений. Стоит отметить, что в поисках конфиденциальной информации упомянутые категории компаний часто бывают предметом атак, в том числе и внутренних. Не стоит забывать о том, что, например, те же базы данных с личными сведениями о людях намного проще получить не в банке, а скажем, в отеле или лечебном учреждении. Имя и фамилия, номера кредитных карточек, всё то же самое, но с менее сильной защитой. Таким организациям тоже стоит задуматься о том, как обезопасить свои информационные ресурсы и выбрать подходящее решение DLP.

Что такое Symantec Data Loss Prevention?

Решение Symantec Data Loss Prevention 11.1 позволяет ответить на 3 ключевых вопроса:

- Где находятся конфиденциальные данные?

- Как они используются?

- Как лучше предотвратить их потерю?

Symantec Data Loss Prevention

Основываясь на многолетнем опыте работы со своими заказчиками, компания Symantec определила 3 ключевых требования для решения DLP: оно должно уметь работать с конечными точками, сетью и также хранилищами данных.

Сетевое решение DLP должно находиться там, где данные могут покинуть и покидают пределы организации, сканировать протоколы (электронная почта, веб-почта и т.п.) в поисках конфиденциальных данных. Если сетевое решение DLP обнаруживает, что важные данные покидают сеть компании, оно должно заблокировать эту возможность. Такое решение необходимо в дополнение к решению DLP на конечных точках, чтобы обеспечить многоуровневую защиту. Хорошим подходом является применение таких технологий безопасности, как межсетевой экран и антивирусная защита, вместе с решением DLP для сети и конечных точек. Важным назначением сетевого решения DLP является работа с передачей данных по сети «неуправляемыми» конечными точками, на которых нельзя запустить агент DLP, например, КПК, ноутбуки гостей, компьютеры с операционными системами Mac OS или Linux, старыми версиями Windows, FTP-серверы и т.д.

Что касается хранилищ данных, очевидно, что беспечно хранящиеся конфиденциальные данные могут находиться всего в нескольких щелчках мыши от того, чтобы покинуть сеть организации. Заказчикам важно знать есть ли конфиденциальные данные в файловых папках, базах данных и других репозиториях, и, если необходимо, переместить в защищённое расположение.

Symantec Data Loss Prevention

В итоге, заказчики желают иметь решение, позволяющее централизованно создавать политики по предотвращению утечек конфиденциальной информации и закрывающее сразу все три описанных выше вектора угроз.

Давайте посмотрим, как Symantec DLP работает в этих направлениях обеспечения безопасности секретных данных.

Интерфейс веб-консоли Symantec DLP доступен на русском языке.

Визуальные элементы отчётов легко настроить

Фрагмент списка инцидентов

Детальная информация по отдельному инциденту

Пример настраиваемого уведомления пользователя,

отображаемого в ответ на действие,

противоречащее политике Symantec DLP

Архитектура Symantec DLP

На схеме ниже представлена многоуровневая архитектура решения Symantec Data Loss Prevention 11.1. Каждый прямоугольник на этой схеме представляет собой отдельный физический сервер с установленным на нём программным компонентом Symantec DLP. Синим шрифтом на схеме обозначены названия этих программных компонентов, которые одновременно являются и названиями (SKU) доступных к заказу продуктов.

Важно помнить, что Symantec DLP — это программное обеспечение, а не устройство. Серверное программное обеспечение устанавливается в операционной среде Windows или Linux. Также обратите внимание, что часть компонентов Symantec DLP устанавливается внутри корпоративной сети, а остальные «живут» в демилитаризованной зоне (DMZ).

В центре схемы находится Symantec DLP Enforce Platform. Эта платформа обеспечивает централизованный интерфейс управления системой для создания политик, отчётов, уведомлений. После создания, политики DLP сохраняются в базе данных Enforce (Oracle 10 или 11). Также эти политики DLP незамедлительно отправляются в модули DLP и хранятся в локальной памяти (RAM) на устройствах, где производится обнаружение конфиденциальной информации. Если политики нарушаются, генерируется соответствующий инцидент. Он отправляется обратно на Enforce, где потом и хранится. Доступ к интерфейсу Enforce можно осуществлять с помощью браузеров Microsoft Internet Explorer или Mozilla Firefox. Сервер Enforce и базу данных можно установить как на один физический сервер, так и отдельно.

Symantec Data Loss Prevention

Справа на схеме сетевые продукты Symantec DLP находятся в демилитаризованной зоне (DMZ). Компонент Network Monitor в пассивном режиме просматривает копию сетевого трафика, получаемого по со SPAN-порта или c TAP. Продукты Network Prevent могут не только мониторить, но и блокировать возможность данным покинуть пределы сети. Network Prevent for E-mail интегрируется с агентом передачи почтового трафика (MTA) для блокирования SMTP-трафика или его модификации и последующей передачи. Network Prevent for Web интегрируется с поддерживаемым веб-прокси, чтобы блокировать или удалять содержимое в веб-запросах.

Слева внизу на схеме расположены продукты Symantec DLP, находящиеся в корпоративной сети (LAN). Обратите внимание, что Endpoint Discover и Endpoint Prevent — это одна инсталляция. Она «общается» с единым небольшим агентом, установленным на ноутбуках и настольных ПК, чтобы осуществлять обнаружение информации и, в случае необходимости, предотвращать её утечку. Endpoint Prevent может отслеживать копирование конфиденциальных данных на жёсткий диск компьютера, а также, осуществлять мониторинг и блокировать копирование информации на USB, CD, DVD, в буфер обмена, контролировать печать, отправку по факсу, копирование с сетевых и на сетевые папки. Последняя функция имеет ограничение — контроль производится только при использовании Windows Explorer. Также Endpoint Prevent позволяет блокировать отправку конфиденциальных данных с помощью поддерживаемых почтовых клиентов и Web-браузеров. Endpoint Discover может производить параллельное сканирование тысяч конечных точек, находить секретную информацию и, опционально, помещать в карантин хранящиеся локально на ПК данные. Эти агенты хранят политики DLP внутри себя, так что даже если ноутбук, например, отключить от корпоративной сети, политики DLP будут продолжать действовать.

Symantec Data Loss Prevention

Слева, в верхней части схемы, находятся продукты для работы с хранилищами данных, которые так же, как в случае с продуктами группы Endpoint, располагаются внутри корпоративной сети. Network Discover и Protect — это одна инсталляция. Network Discover сканирует репозитории данных (файловые серверы, хранилища документов, сайты по взаимодействию [SharePoint] и базы данных) и осуществляет поиск конфиденциальных данных. Network Protect дополняет Discover и может копировать или помещать в карантин важные данные, чтобы защитить их от возможного несанкционированного доступа (это справедливо только при использовании протокола CIFS). Data Insight — это полнофункциональное решение для наведения порядка в неструктурированных данных. Data Insight позволяет собирать информацию о владельцах документов, использовании файлов и правах доступа к ним на файловых серверах Windows и поддерживаемых устройствах NAS (Network Attached Storage). Data Insight интегрируется с компонентом Network Discover для предоставления дополнительной информации об инцидентах в области хранения данных, включая уровни рисков для каждой папки, список активных пользователей файла и полную историю доступа к нему. В отличие от других серверных компонентов Symantec DLP, Data Insight не производит обнаружение конфиденциальных данных, а выполняет второстепенную, но очень полезную задачу.

На схеме архитектуры Symantec DLP, расположенной выше на этой странице, схематически показаны угрозы и протоколы данных, которые можно отслеживать и блокировать.

Обнаружение конфиденциальной информации

Обнаружить важную информацию можно несколькими способами:

Symantec Data Loss Prevention

DCM или Described Content Matching

DCM — это механизм поиска информации по ключевым словам. Применяется к неиндексируемым данным. Использует идентификаторы данных, которые можно описать строго заданным форматом: номера паспортов, кредитных карт, страховых полисов, IP-адресов и т.п.

IDM или Indexed Data Matching

IDM использует цифровые отпечатки с неструктурированных данных (текстовый документ, текст письма, код программы). Размер цифрового отпечатка для неструктурированных данных составляет приблизительно 0,1% от размера исходного файла. Цифровые отпечатки позволяют впоследствии определить насколько новый документ похож на исходный. То есть система DLP сможет отслеживать не только исходный секретный файл, но и похожий на него (если кто-то скопировал часть документа, сохранил его в другом формате, удалил некоторые слова, изменил местоположение абзацев и т.п). Если 10% исходного документа сохранились нетронутыми, решение Symantec DLP сможет по цифровому отпечатку определить конфиденциальный документ.

EDM или Exact Data Matching

EDM использует цифровые отпечатки со структурированных (табличных) данных. Работает очень похоже на IDM. Примерами структурированных данных могут быть прайс-лист, список клиентов, сотрудников (например, в Excel или базе данных) и т.п. Размер цифрового отпечатка в этом случае составляет приблизительно 1% от размера файла. Порог срабатывания (количество строк, при котором генерируется инцидиент) задаётся администратором. Строки для генерирования инцидента необязательно должны идти подряд и, опять же, необязательно, чтобы копируемая строка содержала все поля.

Использование искусственного интеллекта

Описанные выше технологии обнаружения конфиденциальной информации используются уже достаточно давно и доказали свою эффективность. Однако, у каждой из них есть свои особенности. Например, для поиска по ключевым словам (DCM) есть сложность с правильным составлением этого списка. Система работает отлично, находит документы, отслеживает их. Всё это — при грамотно составленном списке ключевых слов. Опыт внедрения Symantec DLP показывает, что бывают ситуации, когда список ключевых слов получается слишком большим или когда слишком много инцидентов генерируется, либо, наоборот, слишком мало. Для того, чтобы составить корректный список ключевых слов, требуется опыт. Как правило, на создание такого списка нужно потратить около недели. В случае с цифровыми отпечатками (IDM и EDM) есть свои неудобства. Например, с каждого нового документа нужно снимать цифровой отпечаток. Это обязательное условие, иначе система не сможет отследить такой документ. Если документ меняется, нужно снимать цифровой отпечаток заново. Конечно, все эти процессы автоматизированы и могут делаться по расписанию, но на этапе начала работы с решением DLP надо снять отпечаток с каждого документа.

В последней версии Symantec DLP 11.1 появилась новая возможность, позволяющая бороться с описанными недостатками. Она никоим образом не заменяет существующие технологии в Symantec DLP, а, скорее, органично дополняет их. Технология эта называется Vector Machine Learning (VML) и представляет собой самообучающуюся систему, которую можно назвать «искусственным интеллектом». Технология VML может научиться отличать одни документы от других. Работает следующим образом. Сначала необходимо предоставить системе для анализа достаточно большое количество однотипных документов (минимум 50), на которые необходимо обращать внимание, т.к. они содержат секретные данные. Затем для анализа надо предоставить столько же документов, которые могут вызвать ложное срабатывание или, другими словами, похожие на секретные документы схожей структуры, не содержащие конфиденциальных данных. Примерами могут служить электронные досье сотрудников или медицинские карточки пациентов (с персональными данными, не подлежащими огласке) и схожие с ними шаблоны документов, не содержащие личных данных.

Symantec Data Loss Prevention

Фактически, VML — это система классификации данных. В дальнейшем, если, например, произойдёт отправка документа, в котором нет ключевых слов, идентификаторов данных, с которого не снимался цифровой отпечаток, система Vector Machine Learning сможет определить, какой это тип документа (анкета, история болезни и т.п.). В результате не нужно будет делать немедленные цифровые отпечатки с новых файлов, например, с резюме. В этом случае VML отследит новый документ сама. Система может учиться. Если произойдёт случайное ложное срабатывание, можно указать VML на это и в дальнейшем подобного инцидента не повторится. По опыту первых внедрений технология Vector Machine Learning отлично показала себя в работе с исходными текстами программного кода. Стоит также отметить, что технологии, похожей на Vector Machine Learning, нет у других решений DLP.

Лицензирование Symantec DLP 11.1

Существует пять типов лицензий для Symantec DLP. Обычно используются Perpetual и Subscription. Подробное описание — в таблице ниже.

Symantec Data Loss Prevention

Компоненты Symantec DLP лицензируются следующим образом:

Читайте также: