1

Программный комплекс

DeviceLock 7.2 Endpoint DLP Suite.

Эффективная защита от утечек данных.

Презентация для конференции

Вахонин СергейДиректор по ИТDeviceLock, Inc.

#codeIBЕкатеринбург,5 сентября 2013 г.

2

Факты

Более 70 000 клиентов и более 5 000 000 инсталляций по всему миру

Международный лидер разработки программных средствдля защитыот утечек данных с корпоративныхкомпьютеров (DLP)

Зарубежные офисы продаж и технической поддержкиСША, Канада, Великобритания, Германия, Италия

Основана в 1996 году

Штаб-квартира и основной офис разработки находятся в Москве

Основной разрабатываемый продукт – DeviceLock Endpoint DLP Suite

Крупнейшие инсталляции – более 70 тыс. компьютеров (США), более 30 тыс. (РФ)

Информация о компании

3

в России

Примеры внедрения

«Опыт эксплуатации DeviceLock в Банке показал, что этот продукт является достаточно функциональным и надежным, вопрос о его замене не рассматривался – и сегодня DeviceLock контролирует около 8000 рабочих мест. Также мы видим, что разработчики системы DeviceLock постоянно совершенствуют свой продукт, наполняя его новым востребованным функционалом, что дает нам надежду, что данный продукт и дальше будет сохранять свою лидирующую позицию на данном рынке.».

Дмитрий Эдуардович Шпонько,Начальник отдела защиты информации УИБ ДБ Банка ВТБ24

Информация о компании

4

Каналы утечки данных

Проблематика утечки данных

Согласно исследованиям Ponemon Institute и Symantec, более 60% увольняемых сотрудников «сохраняют за собой» конфиденциальные данные своих компаний

Рост популярности облаков,доступность мобильных устройств

Высокая доступность и емкость

мобильных устройств и устройств

хранения данных

Социальные сети

Личные ящики веб-почты

и онлайн-службы мгновенных

сообщений

Сайты облачных файловых хранилищ

ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ

РАБОЧИХ СТАНЦИЙ АКТУАЛЬНО КАК

НИКОГДА РАНЕЕ

5

Skype становится межкорпоративным стандартом взаимодействия

Проблематика утечки данных

Более 300 миллионов активных

пользователей

35% пользователей Skype – малый и средний

бизнес, основное средство коммуникаций

С 08.04.2013 прекращена поддержка Live

Messenger, пользователи переведены в Skype;

Microsoft объединила Lync и Skype; Skype

интегрирован в Outlook 2013/365

Поддерживается для любой ОС

Позволяет чат, быструю передачу файлов,

аудио- и видео-конференции

Все коммуникации в Skype зашифрованы,

перехват на уровне корпоративных шлюзов

невозможен

6

Модель BYOD представляет огромную угрозу ИТ безопасности

Мобильные устройствараспространены повсеместно

Модель BYOD становится нормой

ДИЛЕММА «ПРЕДОСТАВЛЕНИЕ

ДОСТУПА - ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ»

Microsoft RDP /

RemoteFXCitrix ICA/HDXCorporate Data

iPad’ы, iPhone’ы, iPod’ы, смартфоны и

планшеты на платформе Android и Windows,

лаптопы и домашние компьютеры

Традиционный сетевой периметр

неспособен контролировать личные

устройства

Все они напрямую подключаются

корпоративной сети и позволяют

«вытаскивать» информацию из нее

Проблематика утечки данных

7

DeviceLock Endpoint DLP Suite

"С введением режима конфиденциального документооборота на предприятии и согласованного плана мероприятий по обеспечению защиты информации от разного рода угроз, руководство Завода приняло решение использовать программное обеспечение DeviceLock российской компании Смарт Лайн Инк, как одно из средств защиты информации.

Отдел информационных технологий Челябинского механического завода изучил аналогичные программные продукты с целью предотвращения утечки конфиденциальной информации, и по наиболее приемлемому соотношению цена/качество предпочтение было отдано именно DeviceLock"

Михаил Мещеряков, Начальник отдела информационных технологий

Комплекс состоит из трёх взаимодополняющих отдельно лицензируемых функциональных компонентов

Контекстныйконтроль

Контентныйконтроль

DeviceLockКонтроль периферийных устройств и интерфейсов подключения, централизованное управление (инфраструктурное ядро архитектуры комплекса)NetworkLockВсесторонний контроль сетевых коммуникацийContentLockТехнологии контентного анализа и фильтрации

DeviceLock DLP Suite – первая российская DLP-система

8

Награды и достижения

DeviceLock Endpoint DLP Suite

DeviceLock отмечен наградами и титулами рядом авторитетных российских и зарубежных изданий и независимых аналитических агентств

Независимая аналитическая компания The Radicati Group признала компанию DeviceLock одним из ключевых разработчиков DLP-систем в своем последнем детальном аналитическом отчете “Content-Aware Data Loss Prevention Market, 2013-2017”

DeviceLock DLP Suite 7.1 получил 5 звезд и знак "Рекомендовано" от журнала SC Magazine в 2013 и 2012 г.г. Максимальная оценка в 5 звезд дана по всем пунктам обзора: функционал, простота использования, производительность, документация, поддержка, цена-качество

DeviceLock назван победителем ежегодного обзора 2013 года “Выбор читателей” издания WindowSecurity.com

Компания Смарт Лайн Инк отмечена Золотой медалью Национальной отраслевой премии «ЗУБР» в категории «Кибербезопасность» за DeviceLock 7.2

Более 70 000 клиентов и более 5 000 000 инсталляций по всему миру

9

Контролируемые каналы утечки данных

DeviceLock Endpoint DLP Suite

Флэшки и другие съёмные носители с интерфейсом подключения USB Смартфоны

CD и DVD R/RW

Карты памяти стандартов Compact Flash и SD

Bluetooth

Устройства, перенаправленные в терминальную сессию

iPad’ы, iPhone’ы и iPod’ы

Цифровые фотоаппараты

FireWire

Принтеры (канал печати)

Социальные сети

Корпоративная почта(SMTP, MAPI)

Облачные файлообменные сервисыHTTP / HTTPS

Веб-почта

Службы мгновенныхсообщений, Skype

FTP / FTPS

Общие сетевые ресурсы (SMB)

TelnetБуфер обмена

Полностью программное решение, не требующее дополнительных аппаратных модулей

Защита от локальных утечек данных непосредственно на источнике угрозыПолная интеграция в групповые политики Active Directory

10

Архитектура программного комплекса DeviceLock

DeviceLock Endpoint DLP Suite

Терминальная сессия

Групповые политикиКонтроллер

доменаActive Directory

Сеть

Консоли управления

DeviceLock

Management Console

DeviceLock Enterprise Manager

DeviceLock WebConsole

DeviceLock

GroupPolicy Manager

Агенты DeviceLock ServiceКомпоненты DeviceLock, NetworkLock, ContentLock (для физических компьютеров и терминальных сессий)

DeviceLock Search Server

SQL Server Может быть использована бесплатная редакция SQL Express для небольших сетей/объемов хранения данных аудита и теневого копирования

DeviceLock Enterprise Server

Дополнительно лицензируется компонент DeviceLock Search Server – по числу индексируемых документов и записей в БД аудита и теневого копирования

Остальные компоненты и функции комплекса (консоли управления, апплеты, отчеты, сервер DeviceLock Enterprise Server) не лицензируются и могут быть использованы в любом количестве в соответствии с требованиями инфраструктуры организации

Программный комплекс DeviceLock Endpoint DLP Suite лицензируется строго по числу защищаемых компьютеров (т.е. тех, на которых установлен Агент DeviceLock – DeviceLock Service или по числу защищенных терминальных сессий).

** Использование групповых политик контроллера домена Active Directory является опциональным, но наиболее оптимальным способом развертывания и управления DeviceLock Endpoint DLP Suite.

* В архитектуре DeviceLock Endpoint DLP Suite отсутствует такой компонент, как выделенный сервер управления.

11

Технологии для контроля данных

DeviceLock Endpoint DLP Suite

Детальное событийное протоколирование действий пользователей, административных процессов и состояния комплекса, включая теневое копирование данных, с хранением данных в централизованной базе данных и поддержкой собственного сервера полнотекстового поиска данных. Система построения отчетов.

Интеграция с внешними программными и аппаратными средствами шифрования съёмных носителей (определение прав доступа к шифрованным носителям).

Задание разных политик для компьютеров в режимах online/offline с автоматическим распознаванием режимов.

Оповещения системы безопасности о событиях в реальном времени.

Блокировка аппаратных кейлоггеров (USB и PS/2).

Гранулированный контроль доступа пользователей ко всем типам устройств и портов локальных компьютеров, в т.ч. канала локальной синхронизации с мобильными устройствами. Контроль наиболее применимых каналов сетевых коммуникаций.

Распознавание реального типа файлов для расширения возможностей контроля, аудита и теневого копирования. Более 4 000 типов (форматов) файлов с возможностью расширения для новых форматов.

Встроенная защита агентов от несанкционированных воздействий пользователей и локальных администраторов. Автоматизированный мониторинг состояния агентов и применяемых политик.

12

Компонент DeviceLock: контроль устройств и интерфейсов

Устройства хранения данных, буфер обмена

Флеш-накопители, карты памяти

Интерфейсы подключения

Терминальные сессиии виртуальные среды

Канал печати

Мобильныеустройства

Компонент DeviceLock обеспечивает контроль доступа к устройствам и интерфейсам, событийное протоколирование (аудит), тревожные оповещения и теневое копирование, а также реализует такие функции, как Белые списки USB-устройств и CD/DVD носителей, защиту агента DeviceLock от локального администратора, поддержку сторонних криптопродуктов, обнаружение и блокирование аппаратных кейлоггеров и др.

Компоненты комплекса DeviceLock Endpoint DLP Suite

13

Компонент NetworkLock: защита от угроз сетевого происхождения

MAPI SMTP SMTP-SSL

MAPI SMTP SMTP-SSL

Социальныесети

Службы мгновенных сообщений

Сетевые сервисы файлового обмена и синхронизации,внутрисетевые файловые ресурсы

Почтовые протоколы и web-почта

Интернет-протоколы HTTP/HTTPS FTP FTP-SSL Telnet

Компонент NetworkLock обеспечивает избирательный контекстный контроль каналов сетевых коммуникаций, событийное протоколирование (аудит), тревожные оповещения и теневое копирование для них.

Компоненты комплекса DeviceLock Endpoint DLP Suite

14

Контроль, аудит и теневое копирование для каналов сетевых коммуникаций: почтовые сервисы (SMTP, MAPI, веб-почту), службы мгновенных сообщений, социальные сети, файлообменные сервисы, внутрисетевые файловые ресурсы (SMB), интернет-протоколы FTP, HTTP и т.п.Функция «белого списка» с настраиваемыми сетевыми и идентификационными параметрами:IP-адреса, их интервалы, подсети, списки, порты, критерий «больше / меньше», пользовательские идентификаторы и группы, почтовые адреса, идентификаторы служб мгновенных сообщений

Компоненты комплекса DeviceLock Endpoint DLP Suite

Встроенный базовый IP-брандмауэр позволяет выборочно блокировать сетевые соединения, не контролируемые DPI-подсистемой модуля в рамках классификации сетевых протоколов.Передача полученных данных модулю ContentLock для контентной фильтрации.

Контроль HTTP и SOCKS соединений, устанавливаемых через прокси.

Опциональный компонент, позволяющий осуществлять контроль, аудит и теневое копирование файлов и данных, передаваемых по сети с использованием ряда сетевых протоколов.

Компонент NetworkLock: защита от угроз сетевого происхождения

15

NetworkLock: Гибкий подход к задаче контроля электронной почты

Серверные DLP-системы, предназначенные для контроля почты, не решают задачу контроля почтовых веб-сервисов – только почтового трафика, проходящего через шлюз.

Модуль NetworkLock позволяет контролировать как передачу почты через почтовый клиент, так и доступ через браузер к почтовым веб-сервисам.

Компоненты комплекса DeviceLock Endpoint DLP Suite

NetworkLock позволяет выборочно для отдельных сотрудников или групп пользователей разрешить или запретить возможность отправки почтовых сообщений по открытым и SSL-защищенным SMTP-сессиям и протоколу MAPI, используемому сервером Microsoft Exchange, а также отправку почтовых сообщений из браузера в почтовых веб-сервисах.При этом можно задать расширенные DLP-политики, ограничивающие пользователей в прикреплении к электронным письмам различных вложений – документов, файлов, архивов… с точностью до типа документа, размера файла и содержимого передаваемого вложения.

MAPI

"Время, когда основным защитным средством от угроз ИБ являлся корпоративный антивирус, давно прошло. Появились новые угрозы, да и бизнес предъявляет все новые требования – современный IT-специалист должен иметь максимально полный арсенал программно-аппаратного обеспечения и доступов для эффективного выполнения служебных обязанностей. Конечно, все необходимые для работы доступы предоставлялись, а вот эффективного автоматизированного контроля ранее реализовано не было. На момент приобретения DeviceLock данный продукт практически не имел конкуренции. При этом отсутствие больших и не разрешимых проблем в эксплуатации DeviceLock, оказание оперативной и квалифицированной технической поддержки, а также развитие продукта в ногу со временем свидетельствует о том, что мы сделали правильный выбор."

Олег Хрусталев, Специалист по ИБ Ассоциации CBOSS

16

NetworkLock: Белый список сетевых протоколов

Возможности Белого списка могут быть с успехом использованы для расширенного решения задачи контроля почтового трафика – можно ограничить область адресатов почтовых сообщений до известных службе безопасности доменов, разрешить использование только допустимых почтовых ящиков и сервисов и т.д.

По аналогии с Белым списком USB-устройств в модуле DeviceLock, в модуле NetworkLock реализован «Белый список» сетевых протоколов, позволяющий гибко предоставлять доступ ключевым сотрудникам только к тем сервисам и узлам, которые необходимы им для работы.

Компоненты комплекса DeviceLock Endpoint DLP Suite

Реализация сценария «минимальные привилегии»: Расширенный гибкий контроль сетевых протоколов в зависимости от ряда параметров

Диапазоны IP-адресов, Диапазоны портовТипы протоколов и приложенийИдентификаторы локальных пользователей/адреса e-mail, имеющих право отправлять мгновенные сообщения и почту(Local Sender)Допустимые получатели мгновенных сообщений и почты (Remote Recipient)

17

Компонент ContentLock: контентный анализ и фильтрация

Контентный анализ электронной почты и веб-почты; служб мгновенных сообщений, социальных сетей и передаваемых по сети файлов; канала печати, съемных носителей и др. типов устройств – в более чем 80 типах файлов и документов.

Контентный анализ для данных теневого копирования.

Комбинирование различных методов фильтрации на базе различных численных и логических условий.

Поиск по ключевым словам с применением морфологического анализа и использованием промышленных и отраслевых словарей.

Анализ по шаблонам регулярных выражений с различными условиями соответствия критериям, в т.ч. встроенным.

Анализ по расширенным свойствамдокументов и файлов, считывание отпечатков Oracle IRM.

80+

Контроль данных в архивах и составных файлов, детектирование текста в графике.

Компоненты комплекса DeviceLock Endpoint DLP Suite

18

Компонент DeviceLock Search Server

DeviceLock Search Server - модуль комплекса DeviceLock Endpoint DLP Suite, позволяет проводить быстрый и удобный аудит безопасности, расследования инцидентов, криминологический анализ.

Автоматически распознаёт, индексирует, находит и отображает документы

• 80+ файловых форматов:• Adobe Acrobat (PDF), Ami Pro, архивы (GZIP, RAR, ZIP), Lotus 1-2-3,

Microsoft Access, Microsoft Excel, Microsoft PowerPoint, Microsoft Word, Microsoft Works, OpenOffice (документы, таблицы и презентации), Quattro Pro, WordPerfect, Wordstar и многих других;

• По определённым параметрам записи.

Производит полнотекстовый поиск по базам данных теневого копирования (в том числе внутри сохраненных файлов) и журналам аудита, хранящимся на сервере DeviceLock Enterprise Server (в связанной SQL-базе данных).

• Индексирование и поиск: комбинация слов, фраз, регулярных выражений, специальных символов, численных диапазонов, полей документов, записей журналов аудита;

• Морфологический поиск и фильтрация «стоп-слов».

Сортирует результаты поиска по ряду параметров.

Компоненты комплекса DeviceLock Endpoint DLP Suite

19

Рабочая станция+

локальный DLP-агент(Endpoint Agent)

Endpoint DLP-системаDeviceLock Wi-Fi, 3G

Локальная синхронизаци

я

Съёмныеносители

Локальныепринтеры

Локальная сеть

Удаленная терминальная

сессия (RDP)

Технологии DeviceLock Virtual DLP

Технологии Virtual DLP

20

Технологии DeviceLock Virtual DLP

Доступ к корпоративным данным – только на время работы.

DLP-политики позволяют передачу между двумя средами только необходимых для сотрудников бизнес –данных.DLP-защита для виртуальных сред и BYOD-модели, основанной на виртуализации рабочих сред и приложений, является универсальной и работает на всех видах личных устройств.Использование виртуальной рабочей среды вместо локального контейнераОтсутствие зависимости от особенностей реализации мобильной платформы:применимость на любых персональных устройствах (планшеты, лэптопы, тонкие клиенты, домашние компьютеры с любыми операционными системами).DLP-агент функционирует внутри терминальной сессии (в виртуальной среде)

Технологии Virtual DLP

DeviceLock: Интеграция DLP-технологий в терминальную среду.

21

Используется виртуальная рабочая среда,с подключением через браузер по протоколу HTML5 через RDP-HTML5 прокси.Локальные устройства и буфер обмена перенаправлены в терминальную сессию.

DeviceLock перехватывает обращения к перенаправленным устройствам и в режиме реального времени осуществляет проверку, допустимо ли их и специфические операции с данными. DeviceLock проверяет содержимое (контент) передаваемых данных на предмет их соответствия DLP-политикам.

Ведется аудит и теневое копирование передаваемых данных, отправляются тревожные сообщения (алерты).

Сценарий использования DeviceLock для DLP-защиты в модели BYOD

Технологии Virtual DLP

22

Пример использования DeviceLock для DLP-защиты в модели BYOD

Технологии Virtual DLP

На iPad используется приложение MS Outlook, с подключением через Remote Desktop (RDP).Проверка контента передаваемых данных на предмет их соответствия DLP-политикам.

Аудит и теневое копирование передаваемых сообщений, алерты.

23

Спасибо за внимание!

Сергей Вахонин

Директор по ИТ

sv@devicelock.com