Введение
Если раньше распространение информации можно было достаточно эффективно контролировать административными мерами, предоставляя физический доступ к ней только для ограниченного числа лиц, то в эпоху всеобщей информатизации контролировать доступ к информации и тем более ее перемещение становится сложнейшей задачей. Поэтому всё острее встаёт проблема инсайдеров и утечек конфиденциальной информации.
На помощь бизнесу в такой ситуации приходят производители программных и аппаратных средств защиты, которые достаточно давно предлагают на рынке целый ряд решений для защиты от утечек конфиденциальных данных (систем Data Leak Prevention, далее DLP). Применение таких продуктов на практике может быть несколько шире, так как технологически с их помощью можно контролировать перемещение информации любого вида, а не только строго конфиденциальной.
Однако изначальная сложность DLP-систем, сильная технологическая и функциональная закрытость значительно усложняют процесс их осознанного выбора для заказчика. Дело в том, что производители зачастую не могут правильным образом представить рынку объемную и сложную систему с множеством функций и нетривиальных технологий. Часть из производителей вовсе не заинтересованы в том, чтобы доступно и понятно рассказывать о технических тонкостях работы своих продуктов, очевидно, опасаясь излишний осведомленности клиентов и прямых сравнений с конкурентами.
К тому же из-за незрелости рынка и значительных технологических и функциональных различий между конкурирующими решениями у потенциального клиента возникает полная дезориентация, какое решение лучше использовать в том или ином случае. Появляется множество вопросов. Чем принципиально отличаются между собой различные решения? На что ориентироваться при выборе DLP-системы? Как выбрать наиболее подходящее решение?
Во всех тонкостях работы DLP-систем зачастую трудно разобраться даже профессионалам из этой отрасли, не говоря уже о потенциальных клиентах. Еще сложнее сравнить их возможности между собой. Цель данного сравнения состоит в том, чтобы показать ключевые отличия наиболее популярных российских и зарубежных DLP-систем, тем самым сделав выбор менее сложным для клиента.
Таким образом, ознакомившись с результатами этого сравнения, потенциальный заказчик сможет уже на начальном этапе сориентироваться, какие системы защиты от утечек конфиденциальных данных подходят для его задач наилучшим образом, сузить поле выбора и в итоге значительно сэкономить время и деньги.
Данное сравнение нужно рассматривать как базисное. Мы ни в коем случае не будем останавливаться на достигнутом в своем стремлении сделать DLP-рынок более открытым. В дальнейшем мы планируем проводить более глубокие сравнения DLP-систем, как по отдельным группам критериев, так и по реальной технологической эффективности.
Лучшие ответы
Саня:
в автозапуске msconfig останови его. больше мешать не будет. а сам он где-то в скрытых Documents and Settings будет, я думаю
Виктория Бутенко:
ищешь в пуске «панель управления» и кликаешь на нее. там находишь либо «программы» либо «удаление программы». если «программы», то «удаление программы»если «удаление программы», то вбиваешь в поиске правом верхнем углу программу и найдя ее удаляешь
Владимир Шадурский:
vclx120.bpl, vcl120.bpl, rtl120.bpl, Monitor.exe, madexcept_.bpl, maddisAsm_.bpl, madbasic_.bpl, GetProcessDLL.dll, и CPUIDInterface.dll надо удалить про адресу C:Program FilesIObitAdvanced SystemCare А тот кто хочет скачать s cloud.mail /public/BBxg/GUmXistv2 удачи всем !!!
You are here
Home
» Полное руководство к системам InfoWatch Traffic Monitor и Device Monitor
28 Oct 2018 22:10KVDmitrieva
https://kb.infowatch.com/#all-updates
Источник информации относится к исследованию:
Корпоративная защита от внутренних угроз безопасности
Username *
Password *
Сниффер
Первичная обработка
Сниффер начинает свое “нюхательное” дело с первичной обработки трафика, преобразуя его в объекты, с которыми система умеет работать, и занося оные в БД. На этом этапе идет отсев “бесполезного трафика”, т.к
если мы будем записывать запросы в поисковики, переводчики, на внутренние ресурсы в большой компании, то база разрастется неимоверно… а что люди ищут в гугле и переводят онлайн по большому счету не так уж и важно
Анализ
В TM реализованы 3 средства анализа перехваченных объектов:
- На вхождение шаблонов текстовых объектов. Если в объекте находится сочетание “Совершенно секретно” и система настроена соответствующим образом, то объект будет соответствующим образом “помечен” (об этом подробнее чуть ниже). Или если в объекте будет содержаться номер паспорта гражданина РФ (или что-то на него очень похожее), то система его также “пометит”. В наличие в системе содержится приличный перечень таких объектов (ОГРН, ИНН, Различные грифы), ну и естественно можно добавлять свои (только не регулярными выражениями, а “жестко”). Ошибок практически не возникает (а в тех случаях, когда возникают, человек бы и сам мог принять пересылаемую информацию, скажем за ИНН).
-
На основе цифровых отпечатков. В систему загружаются типовые конфиденциальные документы, которые запрещено пересылать. Она их хэширует, но не целиком, а определенные части. В дальнейшем, если такие же части этих документов будут встречаться в перехваченных объектов, то система отреагирует. Здесь уже наблюдаются ошибки, в частности с базой наших клиентов (здоровенная таблица Excel), с который мы сняли отпечаток. Иногда систему можно понять и простить – например в подписи письма, на которое отвечает сотрудник содержится такая-же фамилия, как и у клиента. Иногда она реагирует на набор специальных команд в запросе к какому-нибудь веб-ресурсу.
- На основе лингвистического анализа. Разработчик позиционирует этот вид анализа как “улавливание смысла текста”. Анализатор находит в объекте определенные слова, которые заранее занесены в “Базу категорий и терминов”. Например, когда он видит слова “счет” – 2 раза, “заказчик” – 1 раз, “цена” – 1 раз, “рублей” – 3 раза, анализатор заносит объект в категорию Счета. Каждому из указанных выше слов назначается определенный вес для данной категории. Когда сумма весов переваливает через установленный разработчиками предел, то объекту назначается категория. По стандартным встроенным базам, кстати, система определяет категорию довольно точно. Это при том, что разработчик обязуется после покупки формировать перечень категорий по запросу клиента на основе тех документов, которые циркулируют в организации. (Впрочем, для нескольких категорий, мы договорились посмотреть, как оно будет работать в рамках пилотного проекта – пока что ждем результатов работы лингвистов InfoWatch).
Получить консультацию специалиста
«Рейтинг поставщиковуслуг ИТ-аутсорсинга»,версия Tadviser — 2019
ТОП-100
«Рейтинг крупнейшихпоставщиков ИТ-услуг»,версия Tadviser — 2019
ТОП-100
«Рейтинг поставщиковотечественного ПО»,версия Tadviser — 2019
ТОП-100
«Рейтинг системныхинтеграторов России»,версия CNews — 2019
График и темы рефератов и дипломных работ
Опубликованы графики работы над рефератами и дипломами 2017-2018 уч.г.Обновлены списки предлагаемых учителями тем для…
Что такое ВИЗИТКА реферата?
Выложено описание, что такое визитка реферата.В ней должны быть:1. Титульный лист2. Оглавление3. Введение4. Список литературы
Во введении должны быть указаны: актуальность, цели и задачи реферата.
Общегимназическая конференция “Открытый мир образования и науки”
21 января (в субботу) состоится финальный этап научно-практической общегимназической конференции “Открытый мир образования и науки”.
Место проведения: 2-я Пугачёвская,10, актовый залВремя: постер-сессия (конкурс на…
Общее впечатление
С этой DLP работать можно… но эффективная работа (в большой компании) потребует много времени на тонкую настройку, что вполне логично и на “допиливания” (вендор собирает предложения от клиентов и называет это “
future requests
“. Время взаимодействия с разработчиком, в большинстве случаев, устраивает… Теперь ждем следующих пилотных проектов для сравнения.
There are currently 0 users online.
Using the GATT Explorer[edit]
The GATT tab will list all the GATT Primary Services that is available for the connected Bluetooth low energy device. Click on the + to display the Characteristics of the Service.
For the Pressure sensor, there is a characteristic, AA41, which shows the raw temperature data from the Pressure sensor (Barometer). Notifications are enabled after connection but the SensorTag will not transmit any data as the sensors are off by default. Click on the Barometer Data characteristics to see the temperature readings (in hex). These will show 00:00:00:00:00:00 when the sensor is off.
Turn on the sensor by double-clicking in the ‘Value’ field of the Barometer Config characteristic, and enter ‘1’. Now data from the sensor will appear in the Value column. If the log is set to «verbose» messages will appear also there. The readout period can be changed by applying a value to the ‘Barometer characteristic’. The sensor is then turned off by writing ‘0’ to the Config characteristic.
Explore the other sensors to by opening the corresponding Services. All sensors use a common set of characteristics and are operated in the same way.
Внедрение InfoWatch Device Monitor
Внедрение модуля InfoWatch Device Monitor в эксплуатацию начинается с разворачивания серверного компонента, дистрибутив которого входит в комплект поставки продукта. Первые несколько шагов установки не вызывают никаких трудностей: это просмотр титульной страницы, подписание лицензионного соглашения, выбор компонентов (сервер и/или консоль управления) и места их инсталляции.
Рисунок 1. Выбор устанавливаемых компонентов InfoWatch Device Monitor
Дальнейшие этапы установки зависят от того, какие компоненты были выбраны. Так, например, если устанавливается только консоль управления (например, на компьютер администратора безопасности), то больше никакие настройки уже не нужны. А вот если инсталлируется серверная компонента, то необходимо выполнить еще целый ряд шагов.
На первом из них указывается, какой инсталлируется сервер: основной или вспомогательный. Первый используется для вновь разворачиваемой системы, а второй применяется для масштабирования уже работающей. При выборе основного сервера необходимо указать, нужно ли создавать новую базу данных для работы InfoWatch Device Monitor.
Рисунок 2. Выбор типа сервера InfoWatch Device Monitor
Если был выбран вариант со вспомогательным сервером или была отключена функция создания новой базы данных, то следующим этапом станет указание существующей базы данных. В противном случае администратору будет предложено выбрать одну из возможных СУБД.
Рисунок 3. Выбор СУБД для работы InfoWatch Device Monitor
Далее необходимо указать параметры создаваемой базы данных. Для встроенной СУБД это будет просто имя файла и папка размещения, для Microsoft SQL Server – сервер и имя базы данных, а также параметры аутентификации и пр.
Рисунок 4. Настройка параметров базы данных
Следующий этап – ввод сетевых параметров сервера InfoWatch Device Monitor. К ним относятся порты, используемые консолью управления и программами-клиентами. Также можно указать IP-адрес, по которому будут подключаться консоли (если на сервере установлено несколько сетевых адаптеров).
Рисунок 5. Настройка сетевых параметров сервера InfoWatch Device Monitor
Далее необходимо указать пользователя, от имени которого будет запускаться сервис InfoWatch Device Monitor. Рекомендуется использовать для этого предварительно подготовленный аккаунт, обладающий необходимым набором прав доступа. Впрочем, при необходимости можно включить запуск сервиса от имени системной учетной записи (Local System).
Рисунок 6. Выбор пользователя, от имени которого будет запускаться сервер InfoWatch Device Monitor
На следующем шаге задается логин и пароль администратора сервера. Речь идет о пользователе, который имеет роль «Суперпользователь». Это специальная роль, которая не предназначена для регулярной работы. Она применяется только для первичного ввода администраторов в систему и работы в аварийных режимах.
Рисунок 7. Настройка администратора сервера InfoWatch Device Monitor
На последнем этапе необходимо указать адрес сервера InfoWatch Traffic Monitor, на который будет передаваться вся информация об инцидентах. Если в сети предполагается использовать только InfoWatch Device Monitor, то необходимо выбрать автономный режим работы, указав, нужно или нет сохранять теневые копии файлов.
Рисунок 8. Настройка подключения к серверу InfoWatch Traffic Monitor
После этого остается только запустить процесс установки и дождаться его завершения.
Новые возможности InfoWatch Traffic Monitor Enterprise 5.1
По сравнению с предыдущей версией 4.1, InfoWatch Traffic Monitor Enterprise 5.1 претерпел ряд важных изменений и улучшений, которые направлены на обеспечение повышения защиты конфиденциальных данных, удобства работы с системой и расширение отчётности по инцидентам.
- Реализован контроль электронной почты, передаваемой по шифрованным с использованием SSL/TLS протоколам MAPI, SMTP, POP3, а также по стандарту S/MIME. Перехват этих протоколов осуществляется на рабочей станции.
- Расширены возможности лингвистического анализа за счёт добавления новых отраслевых баз контентной фильтрации (БКФ): “Транспортировка нефти”, “Энергетика” и “Налоги”.
- Добавлены (улучшены) технологии распознавания документов:
◦ Детектор выгрузки из баз данных (отпечаток БД может содержать до 2 млн. записей);
◦ Детектор кредитных карт;
◦ Детектор печатей;
◦ Детектор заполненных форм (позволяет контролировать формы, заполненные от руки);
◦ Детектор страниц паспортов.
- Возможность создания пользовательских текстовых шаблонов;
- Реализован простой и удобный веб-интерфейс, который позволяет управлять системой вне зависимости от используемой операционной системы и браузера;
- В консоли управления предусмотрена возможность Windows-авторизации;
- Новый интуитивно понятный графический конструктор политик, который позволяет формировать политики без использования булевой алгебры, полнота и точность которых вычисляется автоматически. В простой и понятной форме можно указать, как данные могут копироваться, передаваться и храниться;
- Интеграция в политики хранения данных возможностей InfoWatch Crawler, что позволяет выявлять факты нелегального хранения информации в инфраструктуре путём указания возможных мест хранения и категории этих данных;
- Графическое представление политик, которое позволяет владельцам информации контролировать её движения;
- Для политик предусмотрена возможность указания времени действия, а для условий, которые входят в состав политики, – указание дня недели, когда это условие может выполняться;
- Реализована возможность автоматической эскалации уровня наблюдения за сотрудником (в зависимости от того, какие политики он нарушал, и от его кадрового статуса);
- Периметр компании. Периметр может формироваться из доменов, групп Active Directory, адресов e-mail сотрудников и пр. В дальнейшем периметр можно указывать в политиках как условие ограничения движения данных за пределы периметра.
- Для оперативного мониторинга инцидентов, данные о нарушениях представлены:
◦ Графиками с указанием динамики по нарушениям;
◦ Количеством нарушений;
◦ Статистикой нарушений по политикам;
◦ Статистикой нарушений по категориям и др.
- Предусмотрена возможность предоставления офицеру безопасности информации о подозрительных событиях, требующих индивидуального рассмотрения;
- Оргструктура компании в InfoWatch Traffic Monitor Enterprise может содержать фотографии сотрудников (в т. ч. импортированные из Active Directory или Novell eDirectory);
- Усовершенствовано представление событий. Работа с базой данных инцидентов может вестись без использования булевой алгебры, что увеличило эффективность поиска;
- Добавлены инструменты взаимодействия с HR-службой, которые позволяют осуществлять настройку и применение особых целевых политик контроля персонала, находящегося группе риска. А также ведение особой отчётности по этим сотрудникам.
В остальном InfoWatch Traffic Monitor Enterprise 5.1 полностью наследует возможности предыдущей версии.
Функциональные возможности InfoWatch Traffic Monitor на уровне шлюза
Мониторинг, анализ и фильтрация различных типов трафика
InfoWatch Traffic Monitor Enterprise позволяет перехватывать сетевой трафик по следующим протоколам:
- HTTP/HTTPS;
- FTP;
- SMTP/ESMTP;
- POP3;
- MAPI;
- NRPC (письма IBM Lotus Domino);
- OSCAR (ICQ, Miranda, QIP, Pidgin);
- MMP (Mail.Ru Agent);
- XMPP (любые клиенты Jabber, включая Google Talk);
- Microsoft Lync
- Skype (текстовые сообщения, файлы и голосовой трафик через InfoWatch Device Monitor).
Поговорим более детально о возможности контроля голосового трафика, поскольку это уникальная, в своём роде, возможность для DLP-систем данного класса.
На рисунке 2 показана принципиальная схема работы модуля InfoWatch VoiceMonitor.
Рисунок 2. Принципиальная схема работы InfoWatch VoiceMonitor
InfoWatch VoiceMonitor — это совместная разработка компаний ЗАО «Центр речевых технологий» и InfoWatch. Данные от перехватчиков голосового трафика передаются на анализ в STC Voice Monitor. Там осуществляет распознавание речи и выделение ключевых слов соответствующей тематики, которая задаётся в политиках безопасности InfoWatch Tarffic Monitor. После осуществления процедуры распознавания и анализа, копия голосового трафика передаётся в InfoWatch Forensic Storage, где она может быть рассмотрена офицером безопасности.
Стоит отметить, что разработчиком заявлена 85% надёжность преобразования голосового трафика в текст.
Контроль различных веб-ресурсов
В InfoWatch Traffic Monitor Enterprise реализована возможность контроля большого количества различных веб-ресурсов:
- Веб-почта (Mail.Ru, Яндекс.Почта, QIP (Почта.ru), Рамблер Почта, Hotmail (live.com), Google, AOL, и другие);
- Социальные сети (Одноклассники, Вконтакте, Facebook, LinkedIn, Loveplanet, MySpace, Мой Мир@Mail.Ru, Мой Круг);
- Блоги (LiveJournal, LiveInternet, Diary.ru, Mylivepage.ru, WordPress, Blogger, Twitter);
- Сервисы поиска работы (HeadHunter, Job.ru, Rabota.ru);
- Произвольные веб-форумы, основанные на платформах phpBB, IP.Board, vBulletin;
- Другие произвольные веб ресурсы (СМИ, потенциально опасные ресурсы, развлечения, файлообменники, финансы, сайты агрессивной направленности, для взрослых, анонимайзеры, программного обеспечения и обновления и другое).
Анализ полученных данных
Полученные в процессе работы данные анализируются с применением различных технологий, в том числе уникальных. На основе проведённого анализа принимается решения о применении той или иной политики. Анализ информации производится по различным атрибутам, применяются технологии лингвистического анализа, контентного анализа, сравнение с эталонными образцами (цифровыми отпечатками).
Централизованное хранение данных
Для ретроспективного анализа и расследования инцидентов, просмотра оперативных запросов, отслеживания активности пользователей при работе с конфиденциальной информацией, хранения полученных данных — применяется модуль InfoWatch Forensic Storage.
Интеграция со сторонними решениями
Для расширения возможностей InfoWatch Traffic Monitor Enterprise, повышения уровня безопасности в инфраструктуре и облегчения интеграции InfoWatch Traffic Monitor Enterprise в существующую инфраструктуру предусмотрена возможность интеграции InfoWatch Traffic Monitor Enterprise с различным сторонним программным и аппаратным обеспечением.
Для обеспечения контроля зашифрованного HTTP-трафика предусмотрена интеграция с прокси-серверами:
- Microsoft Forefront Threat Management Gateway;
- Aladdin eSafe Web Security Gateway SSL;
- Blue Coat ProxySG;
- Cisco IronPort S-Series;
- SQUID.
Также предусмотрена интеграция с такими решениями:
- Система контроля коммуникаций – Microsoft Lync Server;
- IBM Lotus Domino;
- Система электронного документооборота – Oracle Information Rights Management;
- Системой защиты рабочих станций – Lumension Device Control;
- Интеграция с Microsoft Active Directory.
Возможности InfoWatch Device Monitor
Для реализации защиты конфиденциальной информации от утечек в модуле InfoWatch Device Monitor реализованы следующие возможности.
Контроль съемных накопителей
Модуль InfoWatch Device Monitor позволяет контролировать использование широкого спектра накопителей, подключающихся к разным портам и интерфейсам компьютера. Всего поддерживается 18 типов устройств (с учетом разновидностей отдельных устройств их число доходит до 26), которые, так или иначе, могут использоваться для переноса информации и, соответственно, являются потенциально опасным каналом утечки конфиденциальных данных. Правила контроля могут создаваться с учетом типа устройства, способа подключения, текущего времени и пр. В зависимости от этих условий доступ к носителю может полностью запрещаться, полностью разрешаться или разрешаться только для чтения.
Контроль на уровне файлов
Рассматриваемый модуль позволяет создавать правила для контроля процесса записи на съемные накопители на уровне файлов. Это придает ему большую гибкость. Администратор безопасности может задать условия, согласно которым будет осуществляться теневое копирование записываемых на внешние накопители файлов на сервер InfoWatch Device Monitor или на локальный компьютер (если нет подключения к серверу с последующей автоматической передачей на сервер при восстановлении связи).
Контроль печатающих устройств
В рассматриваемой системе реализована возможность контроля использования печатающих устройств: локальных принтеров, доступных сотрудникам организации. При соблюдении заданных условий InfoWatch Device Monitor может осуществлять теневое копирование распечатываемых документов.
Контроль Skype
Одним из наиболее сложных для контроля интернет-каналов является Skype. Из-за встроенного в данную систему общения шифрования трафика шлюзовые решения оказываются бессильными. Модуль InfoWatch Device Monitor позволяет решить эту проблему. Осуществляя перехват на стороне рабочей станции, он способен сохранять чаты, SMS-сообщения и файлы, отправляемые через Skype. Перехват голосовых разговоров не предусмотрен.
«Белые» списки устройств
В рассматриваемом модуле присутствует возможность создания одного или нескольких «белых» списков. В них перечисляются конкретные устройства, доступ к которым должен быть открыт безусловно вне зависимости от того, какие правила на них распространяются.
Централизованное управление
В состав продукта входит специальная консоль управления, с помощью которой можно осуществлять удаленное централизованное администрирование всей системы, включая настройку политики безопасности, работу с пользователями, управление рабочими станциями, просмотр журнала событий и пр.
Система разграничения прав доступа
Доступ к консоли управления может иметь произвольное количество пользователей. Каждому из них можно задать роль, в соответствие с которой он получит права на выполнение тех или иных операций по работе с системой.
Разные способы развертывания системы
Клиентские программы модуля InfoWatch Device Monitor могут устанавливаться на конечных точках сети разными способами: вручную путем запуска дистрибутива, с использованием групповых политик Active Directory, с помощью собственной консоли управления. Это обеспечивает быстрое развертывание системы в информационных системах любого масштаба.
Интеграция с Active Directory
Модуль InfoWatch Device Monitor может извлекать из Active Directory информацию о рабочих станциях и пользователях. Это значительно упрощает и ускоряет внедрение и настройку системы, особенно в средних и крупных корпоративных сетях.
Масштабируемость
Система контроля, построенная на основе модуля InfoWatch Device Monitor, может легко масштабироваться за счет внедрения вспомогательных серверов. Это позволяет создать серверный узел, который может обслуживать бесконечно большое количество конечных точек сети (при увеличении нагрузки достаточно увеличить количество серверов в кластере).