Главная » Linux

Infowatch dlp mac os

Содержание
  1. InfoWatch introduces new generation DLP system
  2. InfoWatch Traffic Monitor. По лезвию багов и фич
  3. Архитектура (who is who)
  4. Функционал блокировки
  5. Функционал контроля рабочего времени
  6. Общее впечатление

InfoWatch introduces new generation DLP system

InfoWatch being one of the leading global DLP vendors introduces a new 5.0 version of its flagship InfoWatch Traffic Monitor Enterprise software to the international market. This innovative solution brings DLP segment to the new business level and opens for corporations revolutionary opportunities in cost saving and lowering operating risks.

InfoWatch Traffic Monitor 5.0 inherits advanced technologies of the previous version but first in the market introduces a business-oriented approach to the process of data leakage prevention.

«Heads of company’s business units are first to learn which information is confidential and needs to be protected. They know best who and how is permitted to work with these data. And only the owner of information can recognize a malicious intent of insider under the innocent activities at the first glance. Thus it is reasonable that the process of security management itself should be closely tied to business process», – comments Alexander Klevtsov, DLP product manager at InfoWatch.

In the context of fast changing business tasks DLP solution must provide easy and flexible system of turning company’s internal rules into security policies reflecting all the spectrum of internal threats and risks caused by data leakage. InfoWatch Traffic Monitor 5.0 implements a brand new platform which independently analyses the completeness of specified conditions and allows setting IT security policies easily and without specific knowledge

Inter alia such easy setting and usage allows dramatically change the situation with DLP solutions penetration into the SMB segment which suffers from data leaks not less than Enterprise companies but usually lack resources to implement and run such systems.

InfoWatch Traffic Monitor 5.0 analyses much more data types to build a threat model than traditional DLP systems. For example thanks to the built-in tools for interaction with the HR Department, InfoWatch Traffic Monitor allows customization and use of special targeted policies for monitoring of personnel who are included in a risk group, with the creation of special reports on the activity of such employees. Employees who are probationers or who are serving out their notice are most at risk – InfoWatch Research Center repeatedly noted that these employees leak the data most commonly.

The solution concept implements various business units’ involvement in security management. InfoWatch Traffic Monitor 5.0 allows assigning role-based access privileges for different groups of users — HR, legal department, marketing, top management, etc. and controlling information which they consider confidential.

Depending on which policy has been breached notification of a divisional director, where the alleged offender works is implemented. This includes both direct break of IT security policies (sending out or copying confidential information) as well as illegitimate storage. Such notifications allow preventing negligence of data usage as well as malicious leak.

InfoWatch Traffic Monitor identifies the malefactor and copartnership and gathers incident statistics which allows preventing the most crucial threats including conspiracy (internal and external malefactors). All information is stored in a single database for further incident forensics, building reports and prompt response to the incident. Data on breaches represent graphs indicating breach trends, number of breaches, reach statistics by policy and by category.

Access to the system management console is provided through user-friendly web interface. The system can be managed from any workstation irrespective of the operating system being used (Windows, Linux, Apple Mac OS) or a browser which makes management process easy and comfortable.

Interception and analysis technologies were also significantly improved. InfoWatch Traffic Monitor 5.0 detects confidential data transfer irrespective of the data type whether it is plain text, graphics (photos, etc.) or binary data. At that the malefactor can’t bypass the system by changing the file resolution, adding image noise, etc.; unlike other DLP systems в отличие от других InfoWatch Traffic Monitor 5.0 understands file content rather than just defining whether it matches some formal criteria.

Читайте также:  Sftp file manager linux

Modern business applications are an essential tool which helps organizations to make more efficient decisions, save costs and boost productivity. They store huge volumes of corporate data including confidential that is why new InfoWatch Traffic Monitor version highlights the technology of databases protection. This technology detects database downloads from business applications and blocks it unauthorized distribution. In case of an incident digital proofs can be used for forensics and trial.

The solution is supplied in two configurations – InfoWatch Traffic Monitor Enterprise for large companies and InfoWatch Traffic Monitor Standard optimized for SMB companies. Thanks to increased productivity the solutions do not create network overload and do not influence on usual work process.

«New InfoWatch Traffic Monitor version is a huge step forward in DLP systems development, – comments Tatiana Beley, InfoWatch marketing director.. – If earlier these systems were mainly used for solving the IT security tasks now they can help meeting business challenges. New generation of DLP systems help business to be sure in security of valuable or confidential data, give understanding of all internal and external flows in organizations, allows revealing conspiracy, malefactors, people involved in industrial spying; help дает conducting business intelligence in order to control employee activities and defining the level of personnel loyalty. This leads directly to saving costs, decrease of business risks and enterprise protection against internal threats. Over InfoWatch Traffic Monitor 5.0 development we followed this business-oriented concept, and now we are ready to offer our customers new and more efficient model of information flows management within the company.».

Источник

InfoWatch Traffic Monitor. По лезвию багов и фич

«Игорь, у него ДВА сердца. »

Анна Попова, руководитель Блока DLP ГК Инфосекьюрити, продолжает делиться своими впечатлениями от использования разных DLP-систем. В прошлой статье она рассказала о плюсах и минусах решения КИБ SearchInform. Сегодня, как и было обещано, поговорим про линейку продуктов InfoWatch. Только давайте сразу определимся, что на объективное сравнение мы не претендуем.

Вообще сложно понять, что такое объективное мнение о системе. Объективные характеристики – это соответствие DLP-системы техническим требованиям заказчика, требованиям ФСТЭК и т.п., а также соотнесение их с необходимыми мощностями. Все прочее – субъективно, ибо реальность такова, что функциональность, которая у одного клиента «взлетела», у другого упадет. И уж тем более не приходится говорить об объективном превосходстве одной системы над другой, если речь идет о её эксплуатации аналитиками. Кому-то нравится один интерфейс, кому-то другой, кому-то не нравится выгрузка событий, кому-то она не важна.

Про продукт DLP от компании InfoWatch сказано много; много копий сломано вокруг него. Мнения встречаются самые разнообразные – от самых полярных до нейтральных. С течением времени и компании, и продукту довелось пройти долгий и тернистый путь развития, отрастить не одну полезную функцию и даже попасть в «магический квадрант» Gartner. Так попробуем же разобраться, чего удалось достигнуть продукту, так ли он хорош (или плох), как о нём говорят.

Архитектура (who is who)

Прежде всего нужно понять, с чем мы работаем. Программный комплекс InfoWatch Traffic Monitor состоит из следующих компонентов:

InfoWatch Traffic Monitor – основной компонент, отвечающий за сетевой перехват и анализ перехваченных данных (собранных по сети и с агентов). Работает на RHEL/CentOS 6. Также отвечает за отрисовку веб-интерфейса, который является основной точкой входа для офицера ИБ при работе с системой.

InfoWatch Device Monitor – этот компонент отвечает за управление агентами (в том числе за агентские политики). Работает на Windows Server. Имеет отдельную консоль управления, которую можно инсталлировать на любую машину с Windows – главное, чтобы был открыт сетевой доступ до сервера Device Monitor.

InfoWatch Crawler – модуль, дающий возможность сканирования указанных пользовательских каталогов и сетевых директорий. Работает на Windows Server (может быть установлен на машину с сервером Device Monitor), но интерфейсно интегрируется в веб-консоль Traffic Monitor и управляется оттуда же.

Читайте также:  Windows 10 корпоративная оригинал

InfoWatch Vision – опциональный компонент, позволяющий существенно упростить процесс расследования инцидентов ИБ за счёт визуализации. Представляет события из Traffic Monitor в виде автоматически перестраиваемых интерактивных графиков. Работает на Windows Server и базируется на платформе QlikSense.

InfoWatch Person Monitor – также опциональный модуль, предоставляющий функционал контроля рабочего времени. Работает на Win Server, берёт свои корни от легендарной, в некотором роде, системы «Стахановец».

Функционал блокировки

Так как система носит гордый статус DLP (что, напомним, означает Data Leakage Prevention – предотвращение утечки данных), в первую очередь рассмотрим «классический» функционал для таких систем – предотвращение. Что же может предложить нам рассматриваемый программный комплекс?

Даже в минимальной инсталляции (Traffic Monitor, Device Monitor) функционал достаточно богат: возможна блокировка почты, предотвращение записи на съёмные носители по результатам контентного анализа или по белым спискам носителей, запрет запуска приложений, запрет использования FTP. С подключением модуля Person Monitor функционал несколько расширяется: добавляется возможность очистки буфера обмена, запрет загрузки файлов в интернет.

Неподготовленному пользователю будет сперва непросто разобраться во всём многообразии различных консолей управления: так, одной из особенностей при работе с системой является необходимость «включения» некоторых каналов перехвата в Device Monitor.

В целом, функционал предотвращения не вызывает вопросов, здесь есть, где разгуляться; хотя самым требовательным клиентам, наверное, всё же придётся обратиться к более гибким конкурирующим продуктам. Что касается функционала учета рабочего времени, то в IWTM он реализован оригинальным, но достаточно удобным способом.

Функционал контроля рабочего времени

Рынок DLP, особенно в странах СНГ, сегодня не ограничивается исключительно функционалом предотвращения. Системы DLP мало-помалу вбирают в себя функционал другого класса продуктов – систем мониторинга рабочей деятельности сотрудников.

Рассматриваемый продукт не стал исключением и тоже вобрал кое-что. Насколько качественно?
Контролировать сотрудников можно при помощи модуля Person Monitor – начиная с кейлогера и заканчивая видео с рабочего стола, а также контролем веб-камеры и звука с микрофона. Однако не всё так радужно. Выше упомянуто, что данный модуль является интерпретацией нашумевшего «Стахановца». Отсюда и минусы – например, абсолютное отсутствие интеграции с остальными модулями комплекса и гарантированное покрытие «полным контролем» лишь пятидесяти машин. Особое умиление доставила защита БД – шифрование не нужно, данные в базе хранятся всего лишь в изменённой кодировке. «Чтобы никто не догадался. »

Кстати, касательно умилений: при первом открытии веб-интерфейса Person Monitor предупреждает, что соединение не зашифровано (обычный http, то бишь) и предлагает ссылку на мануал, по которому каждый может сам себе настроить https. Почему этого было не сделать «из коробки» – неясно.

Ещё есть очень интересная функция распознавания голоса в текст. Реализовано это через API Google, что для многих заказчиков будет проблемой: во-первых, требуется подключение сервера к интернету, а во-вторых, не каждый согласится передавать свою конфиденциальную информацию третьей стороне.

При проведении расследований по собранной Person Monitor’ом информации мы испытывали дискомфорт, потому что привыкли работать со всей доступной информацией со всех доступных каналов и по всем сотрудникам. К тому же местный поиск по насниффанным кейлогером данным обладает лишь самым базовым функционалом – например, есть морфология, но интересные и сложные правила текстового поиска построить не удастся. Тем не менее, на небольших объёмах трафика и в малых компаниях с этим всем вполне можно жить.

С технической точки зрения Person Monitor состоит из агента, собирающего данные с рабочей станции пользователя, сервера с БД (MSSQL), где эти данные потом хранятся, и Apache для Windows, отрисовывающего веб-интерфейс системы. По запросу пользователя составляется SQL-запрос, и его результат предстаёт перед юзером в виде html-страницы отчёта.

Говоря о малых и больших компаниях, плавно переходим к ещё одному модулю – Vision. Он был словно создан по нашему заказу – позволяет упорядочить перехваченные Traffic Monitor’ом данные для наглядного представления и помимо этого даёт возможность на лету перестраивать запросы. Всё это возможно не в последнюю очередь благодаря платформе QlikSense, оперирующей вытянутыми из Traffic Monitor событиями в оперативной памяти сервера Vision.
События нужно подгружать раз в определённый промежуток времени – например, каждую ночь, поскольку выгрузка больших объёмов данных занимает продолжительное время.

Читайте также:  Как удалить драйвер флешки windows 10

Общее впечатление

Рассматриваемая система, как и любая другая, не лишена недостатков. К сожалению, до сих пор остаются некоторые «детские болячки», тянущиеся с ранних версий (например, перечисленные проблемы Person Monitor’а); некоторые решения выглядят спорно – не всегда понятно, баг это или фича (разобщённость консолей и использование разных БД для хранения событий). Если вам необходим упор на какой-то конкретный функционал, а не комплексное решение, рекомендуется продолжить изучение рынка DLP.

Когда-то мы начали изучение рынка DLP именно с InfoWatch Traffic Monitor, поэтому минусы сразу бросились в глаза:

  • даже при минимальной инсталляции требуется два сервера — Traffic Monitor, Device Monitor — на системах разных семейств;
  • при максимальной инсталляции требуется установка двух агентов на рабочую станцию сотрудника;
  • пользователь системы вынужден применять в работе не одну консоль, а от двух до пяти (Traffic Monitor, Device Monitor, Person Monitor, консоль настроек Person Monitor, Vision);
  • при всём вышеизложенном интеграции Person Monitor с остальным комплексом просто нет – ощущение, что работаешь в отдельной системе.

Однако, продолжив изучать рынок дальше, обнаружили множество плюсов (воистину, всё познаётся в сравнении):

  • стабильность работы;
  • простота и быстрота раскатки. В наличии имеется kickstart-образ Traffic Monitor’а, а Windows компоненты устанавливаются по паттерну «Далее – Далее – Готово»;
  • гибкость системы. Освоившись с интерфейсом всех консолей, можно накручивать достаточно сложные правила срабатывания, которые будут применены сразу же при поступлении трафика;
  • скорость проведения расследования. Несмотря на то, что Vision ещё молод и не оброс достаточным для нас количеством функций, его скорость и наглядность это компенсируют. При работе с прошлыми крупными заказчиками он бы нам очень пригодился в составе боевой системы.

При подготовке статьи мы опросили своих коллег – практикующих аналитиков, какое впечатление на них произвела система DLP от InfoWatch. Суммируя все сказанное, выделим несколько плюсов и минусов.

  • несвязность консолей;
  • нефункциональное разграничение доступа (вроде есть, но не всегда можно настроить, как хочется — например, дашборд);
  • один из модулей вообще собирает информацию, которую ядро анализировать не может;
  • используется аж два агента, некоторые функции включены в оба;
  • данные нужно перегонять между базами;
  • в один сервер полный функционал поместить невозможно даже в самом минимальном внедрении;
  • логика работы PM (оперирование не событиями, а отчетами) не позволяет комфортно использовать его для всей зоны покрытия, а исключительно «точечно».

Плюсы:

  • готовность реализовывать функционал, если нужно;
  • простота в установке (кикстарт);
  • масштабируемость;
  • много видит, много понимает – большой выбор каналов, работа с мобильным трафиком, большой выбор методов детектирования конфиденциальных данных;
  • относительно быстрый поиск и удобный предпросмотрщик с подсветом различных объектов разными цветами;
  • подробное описание технологий и объектов защиты;
  • автоматическое определение критичности, разгрузка офицера и т.п.;
  • много внимания уделяется визуализации собранной информации. Одно из лучших решений на рынке.

Из минусов – да, увы, это многоконсольность и не всегда логичное разделение функционала между ними. Это не только неудобно, но и совсем неэффективно, когда нужно собрать доказательную базу для расследования, а данные в разных базах, и привести их к одному виду средствами самой системы никак нельзя. Много лишней ручной работы аналитика или безопасника.

Нас порадовало стремление вендора реализовывать доработки для потенциальных клиентов, т.е. без наличия обязывающих договорных отношений. Это абсолютно реальный пример: через полгода после обсуждения кучи доработок, заявленных нами на пилоте в одном из клиентов, мы увидели их в реализованном функционале, что было крайне приятно.

Причем, IW один из немногих вендоров, который внимательно относится к обсуждению таких проблем, не отфутболивает по тегу – а зачем это нужно, вы первые, кто спрашивает об этом и т.п. (Саша Клевцов, передаем тебе отдельный привет и самые лучшие пожелания :)).

В сухом остатке имеем достаточно сбалансированную систему, закрывающую большинство требований самых занудных заказчиков и не обладающую завышенными системными требованиями. InfoWatch последовательно «прокачивает» свой комплекс, добавляя новые крутые функции. Остаётся только аккуратно сшить их между собой :).

Анна Попова, руководитель Блока DLP, ГК Инфосекьюрити
Никита Шевченко, руководитель группы инженерного сопровождения Блока DLP, ГК Инфосекьюрити

Источник

Оцените статью
© 2024 Советы по настройке компьютера