Комплексная система InfoWatch Traffic Monitor

Рынок продуктов для защиты от внутренних угроз сейчас находится в стадии бурного роста. На нем сегодня присутствуют десятки продуктов, в той или иной мере позволяющие уменьшить риск утечки информации через собственных сотрудников. Однако, большинство из них контролирует один-два канала утечки, не давая возможность компаниям организовать комплексную защиту.

InfoWatch Traffic Monitor осуществляет мониторинг и фильтрацию данных, передаваемых как внутри сети компании, так и за ее пределы. Решение позволяет анализировать широкий спектр протоколов, включая электронную почту (SMTP, Lotus) веб-трафик (HTTP), интернет - пейджеры (IM), данные, передаваемые на печать, а также копируемые на сменные носители (модуль InfoWatch Device Monitor) (см. Приложение А).

Комплексное решение IW TM 4.1 в отслеживает в режиме on-line операции вывода конфиденциальной информации из информационной системы компании (пересылка по корпоративной и web-почте, публикация в Интернет, печать, копирование файлов на сменные носители и т.д.), позволяет в автоматическом и полуавтоматическом режиме блокировать подозрительные операции.

IW TM 4.1 хранит содержимое всех операций по выносу информации за пределы информационной системы компании по любому из названных каналов и позволяет делать аналитические выборки из него для расследования случаев утечки данных. Централизованная консоль управления позволяет офицеру ИТ-безопасности контролировать работу всех компонентов решения, осуществлять мониторинг действий пользователей, настраивать политику ИТ-безопасности и создавать статистические отчеты.

Архитектура комплексного решения IW TM 4.1 носит распределенный характер и включает в себя следующие программные компоненты:

• Ядро системы – хранилище информационных объектов и событий в системе, система централизованного управления перехватчиками и центральная консоль Офицера ИТ-безопасности.

• Перехватчик InfoWatch Web Monitor (IWWM) – контролирует движение информации в сеть Интернет, в том числе веб-почту, форумы и чаты. IWWM сканирует исходящий Интернет-трафик, выделяет подозрительный и запрещенный к отправке через эти каналы контент, блокирует пересылку информации, которая содержит или может содержать конфиденциальные данные.

Перехватчик реализован в двух архитектурах: Transparent Proxy и plug-in для сервера Microsoft ISA.

• Перехватчик InfoWatch Mail Monitor (IWMM) предназначен для предотвращения утечки информации через корпоративную почтовую систему. IWMM сканирует почтовый трафик (текст электронных сообщений и вложенные файлы) и блокирует пересылку корреспонденции, которая содержит или может содержать конфиденциальные данные. Перехватчик реализован в двух архитектурах: SMTP-Gateway и plug-in для сервера Lotus Notes.

• Перехватчик InfoWatch ICQ Monitor – (IWIM) в режиме реального времени сканирует трафик обмена информацией через ICQ и, при выявлении конфиденциального контента, может блокировать передачу данных. Перехватчик реализован в архитектуре Transparent Proxy.

• Перехватчик InfoWatch Device Monitor (IWDM) контролирует действия пользователей с отчуждаемыми устройствами хранения информации. Он позволяет организовать использование портативных устройств хранения информации и коммуникационных портов, а также передавать на анализ Ядру содержание копируемых на сменные носители файлов. Перехватчик реализован в виде агента на рабочей станции.

• Перехватчик InfoWatch Print Monitor (IWPM) выполняет мониторинг петаемых документов и, при обнаружении конфиденциального контента, может блокировать печать документа. Перехватчик реализован в виде виртуального принтера.

Система поставляется в виде Ядра и минимум одного перехватчика.

Все перехватчики передают информационных объекты в Ядро системы для атрибутного и контентного анализа, на основании которого выполняется заранее назначенный сценарий – пропуск информации, ее блокирование, оповещение офицера безопасности, помещение в карантин и т.д.

Хранилище информационных объектов и событий, являющееся частью Ядра системы, позволяет накапливать информацию о событиях, инцидентах и маршрутах перемещения конфиденциальных данных, покидающих корпоративную сеть. Этим обеспечивается ведение протокола операций с чувствительной информацией, что является необходимым требованием большинства законодательных регулирующих норм.

Удобную обработку информации, накопленной хранилищем, позволяет осуществить сервер отчетов. С его помощью можно создать широкий диапазон как стандартных, так и настроенных офицером ИТ-безопасности отчетов.

Рабочее место офицера безопасности представляет собой web-консоль управления, на которую поступают оповещения о нарушении политики внутренней безопасности.

Интеграция Ядра системы с популярным LDAP обеспечивает единую идентификацию пользователей, выполнивших действие с информационным объектом независимо от канала, по которому оно было перехвачено.

Ввиду многомодульного характера IW TM 4.1 требования к аппаратному обеспечению формулируются для каждого компонента решения отдельно. Требования к аппаратному обеспечению зависят от объема информационных потоков и размера хранимой информации.

Выводы

В таблице 00 приведено соответствие между основными требованиями стандарта Центробанка по ИТ - безопасности и возможностями комплексного решения IES. Следует отметить, что помимо функциональности, описанной в таблице и требуемой обсуждаемым стандартом, продукт позволяет защититься от таких опасных угроз, как корпоративный саботаж, нецелевое использование информационных ресурсов компании, кража и разглашение конфиденциальных данных.

Функциональность InfoWatch TM 4.1 применительно к стандарту ЦБ по ИТ – безопасности(см. Приложение Б

Таким образом, комплексное решение IW TM позволяет удовлетворить основным требованиям стандарта Центробанка по ИТ - безопасности, в том числе тем, которые являются частью исходной концептуальной схемы (парадигмы) данного нормативного акта.