InfoWatch Enterprise Solution

Решение InfoWatch Enterprise Solution (IES) поставляется российской компанией InfoWatch, разработчиком систем защиты от инсайдеров. Оно позволяет обеспечить всесторонний контроль над всеми путями утечки конфиденциальных сведений: почтовым каналом и веб-трафиком, коммуникационными ресурсами рабочих станций и т. д. На сегодняшний день IES уже используется правительственными (Минэкономразвития, Таможенная служба), телекоммуникационными (ВымпелКом), финансовыми (Внешторгбанк) и топливно-энергетическими компаниями (ГидроОГК, Транснефть).

Архитектуру IES можно разделить на две части: мониторы, контролирующие сетевой трафик, и мониторы, контролирующие операции пользователя на уровне рабочих станций. Первые устанавливаются в корпоративной сети в качестве шлюзов и фильтруют электронные сообщения и веб-трафик, а вторые развертываются на персональных компьютерах и ноутбуках и отслеживают операции на уровне операционной системы. Сетевые мониторы IWM и IMM также могут быть реализованы в виде аппаратного устройства – InfoWatch Security Appliance. Таким образом, заказчику предлагается на выбор либо программное, либо аппаратное исполнение фильтров почты и веб-трафика. Преимущества такого подхода лучше всего проявляются при защите сложной вычислительной сети, охватывающей территориально распределенные филиалы.

К мониторам уровня рабочей станции относятся Info-Watch Net Monitor (INM) и InfoWatch Device Monitor (IDM). Модуль INM отслеживает операции с файлами (чтение, изменение, копирование, печать и др.), контролирует работу пользователя в Microsoft Office и Adobe Acrobat и тщательно протоколирует все действия с конфиденциальными документами.

Вся эта функциональность логично дополнена возможностями модуля IDM, который контролирует обращение к сменным накопителям, приводам, портам (COM, LPT, USB, FireWire), беспроводным сетям (Wi-Fi, Bluetooth, IrDA) и т. д.

Вдобавок, компоненты INM и IDM в состоянии работать на ноутбуках, при этом администратор безопасности имеет возможность задать специальные политики, действующие на период автономной работы сотрудника. Во время следующего подключения к корпоративной сети мониторы сразу же уведомят офицера безопасности, если пользователь попытался нарушить установленные правила во время удаленной работы.

Все мониторы, входящие в состав IES, способны блокировать утечку в режиме реального времени и сразу же оповещать об инциденте офицера безопасности. Управление решением осуществляется через центральную консоль, которая позволяет настраивать корпоративные политики. Также предусмотрено автоматизированное рабочее место офицера безопасности, с помощью которого специальный служащий может быстро и адекватно реагировать на инциденты. Таким образом, комплексное решение IES адресует все аспекты защиты конфиденциальной информации от инсайдеров.

Lumigent Entegra и Log Explorer

Продукты компании Lumigent Entegra и Log Explorer служат для пассивной защиты информации, хранящейся в базах данных. Они позволяют осуществлять аудит баз данных и восстанавливать информацию в них.

 Продукт Entegra следит за действиями пользователей при работе с базами данных и осуществляет аудит самих баз. Он позволяет определить, кто, когда и как просматривал или изменял записи в базе данных, а также изменял, структуру или права пользователей для доступа к ней. Стоит заметить, что продукт не в состоянии предотвратить какое-либо вредоносное воздействие, он лишь может отправить информацию об этой операции для записи в журнал. Log Explorer ведет избыточный журнал всех произведенных с базой данных транзакций, что позволяет в случае каких-либо проблем произвести анализ и аудит совершенных операций и восстановить потерянные или измененные записи без использования резервной копии. Однако речь о восстановлении на самом деле не идет, Log Explorer позволяет осуществлять откат транзакций. Таким образом, этот модуль не в состоянии предотвратить утечку, но может снизить риски искажения записей.

PC Acme

Продукт PC Activity Monitor (Acme) позволяет осуществлять пассивный мониторинг операций пользователя на уровне рабочей станции. Решение состоит из двух частей: средства централизованного управления и многочисленные агенты, внедряемые в рабочие станции по всей организации. С помощью первой компоненты продукта можно централизованно распределить агенты по всей корпоративной сети, а потом управлять ими. Агенты представляют собой программные модули, которые очень глубоко внедряются в Windows 2000 или Windows XP. Разработчики сообщают, что агенты располагаются в ядре операционной системы, и пользователю практически нереально нелегально удалить их оттуда или отключить. Сами агенты тщательно протоколируют все действия пользователей: запуск приложений, нажатие клавиш и т. д. Можно сказать, что журнал событий, получающийся на выходе, по степени своей детализации напоминает результаты неусыпного видеонаблюдения за экраном компьютера. Однако получаемый журнал, естественно, представлен в текстовом виде. Центральная консоль управления позволяет собирать запротоколированные данные на один единственный компьютер и анализировать их там. Однако на этом этапе могут возникнуть сложности. Во-первых, офицеру безопасности приходится вручную анализировать сотни тысяч записей о тех или иных системных событиях, чтобы выделить те, которые являются нарушением политики ИТ-безопасности, привели к утечке и т. п. Но даже если офицеру безопасности удастся обнаружить факт утечки, то он все равно уже не сможет ее предотвратить. Таким образом, программа PC Acme подходит для пассивного мониторинга всех действий пользователя на уровне рабочей станции.