Гарда Предприятие
Гарда Предприятие — система, созданная для обеспечения информационной безопасности (ИБ) внутри компании, осуществляющая в режиме реального времени мониторинг основных каналов возможной утечки конфиденциальных или составляющих коммерческую тайну данных. Выявляет и информирует службу ИБ о фактах нарушения политики безопасности и их виновниках.
Система проводит эффективный мониторинг исходящего трафика на соответствие заданной политике безопасности, уведомляет работников службы ИБ о выявленных нарушениях, обеспечивает информационную поддержку внутренних расследований, ведет архив перехваченных объектов информационного обмена с возможностью ретроспективного анализа. Система невидима для всех пользователей информационной сети (ИС) организации. Благодаря пассивному способу подключения к сети передачи данных (СПД) исключается возможность обнаружения системы со стороны СПД. Комплекс Гарда Предприятие независимо от своего состояния (работа, неисправность, перезапуск) не нарушает работу оборудования СПД.
Преимущества системы Гарда Предприятие:
• Информационный и персонифицированный поиск и анализ позволяют вести мониторинг всей исходящей информации на соответствие политике ИБ, вести детальное наблюдение за коммуникациями отдельного подозреваемого.
• Использование заданной политики безопасности при обнаружении угроз информационной безопасности позволяет существенно повысить вероятность обнаружения утечки информации.
• Система защищена от преобразования / внедрения охраняемых данных в различные форматы и является форматно-независимой (поддерживается целый спектр популярных форматов данных).
• Мультипротокольность системы — поддерживаются все популярные прикладные протоколы обмена данных (как существовавшие, так и появившиеся за последние 5 лет). Список поддерживаемых протоколов / форматов постоянно обновляется.
• Система не изменяет топологию сети организации и является полностью пассивной.
• Разграничение функций обеспечения ИБ и администрирования. Сотрудник отдела ИБ может вообще не являться частью информационной системы предприятия и выполнять только контролирующие и следственные функции. Система абсолютно невидима и недоступна с точки зрения обычных сотрудников предприятия (у системы отсутствует собственный IP-адрес), не влияет на его информационную инфраструктуру.
• Независимость от интерфейса подключения — поддерживаются все стандарты Ethernet (включая оптический), а также другие виды сред передачи данных (STM/E1).
• Масштабируемость системы позволяет использовать ее для обеспечения ИБ различных по размеру предприятий, проводить анализ трафика как уходящего за пределы компании, так и циркулирующего внутри предприятия (трафик между отдельными офисами / отделами компании, трафик к сетевому принтеру и т.д.).
Система Гарда Предприятие обеспечивает широкие возможности анализа исходящего информационного потока организации. Информационный поиск и анализ в системе выполняется тремя основными методами:
1. Анализ текстовой информации, передаваемой по каналам связи в режиме реального времени. Данный анализ предусматривает поиск на основе ключевых слов и логических комбинаций шаблонов ключевых слов (с использованием подстановочных символов), а также фразовый поиск с использованием морфологического анализа. Последний позволяет осуществлять поиск с учетом всех возможных словоформ, входящих в фразу, включая как известные (присутствующие в словаре), так и неизвестные слова. Это повышает качество поиска и дает возможность формировать запросы на живом языке, подобно запросам в поисковых системах интернета. Система предоставляет удобный интерфейс для формирования, пополнения и управления базой контентной фильтрации.
2. Персонифицированный поиск предусматривает контроль за коммуникациями конкретного подозреваемого для дальнейшего сбора доказательств. Система позволяет записывать интересующие типы трафика сотрудника для последующего ретроспективного анализа. Например, можно записывать весь IM трафик за определенные периоды времени, либо весь FTP трафик для файлов определенного размера, либо просто абсолютно весь трафик подозреваемого.
3. Ретроспективный анализ представляет собой поиск по уже собранной информации с использованием сочетаний критериев первого и второго типов анализа. Например, это может быть фразовый поиск в определенном типе трафика за определенный период времени.
Анализируемые протоколы и форматы данных:
• HTTP (веб почта, блоги, чаты, конференции)
• Электронная почта (письма и вложения, переданные по SMTP, POP3, IMAP4, NNTP)
• Интернет-пейджеры (ICQ, MSN, AIM, Yahoo)
• VoIP (SIP, H.323, MGCP, Skinny)
• Передача файлов (FTP, P2P)
• Детектирование использования Skype и шифрованных соединений (VPN)
• Поддержка форматов файлов MS-Office (Word, Excel, Access, PowerPoint), PDF, Plain Text, архивы (RAR, ZIP, ARJ, GZIP, TAR) и др.
• Защита от преобразования данных (внедрение одного формата в другие)
• Анализ текстовой информации, передаваемой в графических форматах
Категорирование информации
Система обеспечивает поддержку категорий доступа к информации в соответствии с политикой безопасности организации. Система однозначно идентифицирует отправителя по логину пользователя, которому соответствует заданная категория доступа. Помимо обычного «плоского» поиска возможно категорирование работников организации на предмет доступа к информации и создание запросов на мониторинг информации в привязке к определенной категории работников. С одной стороны это позволяет «локализовать» поиск, с другой ведет к уменьшению ложных срабатываний системы для случаев правомочной передачи информации.
Интеграция с Active Directory обеспечивает сопоставление учетных записей сотрудников передаваемым данным.
Состав системы
В состав системы Гарда Предприятие входят следующие компоненты:
• Анализатор трафика — устройство он-лайн анализа информации. Сканирует проходящий трафик на наличие запрещенного контента. Передает распознанный запрещенный контент на Центр управления, нераспознанный контент передается на Оффлайн Анализатор для дальнейшей обработки;
• Оффлайн Анализатор трафика — сервер отложенной обработки трафика, предназначенный для поиска запрещенного контента в сложных объектах информационного обмена. Такими объектами могут являться файлы MS Office, архивы, PDF файлы, графические форматы данных, сложные, вложенные друг в друга объекты;
• Центр управления — устройство централизованного управления системой, обладает собственной базой данных для хранения перехваченных объектов, статистики, базы контентной фильтрации с различными критериями наблюдения;
• Рабочее место оператора.
