infowatch device monitor client что это за программа
Новости компании
Компания InfoWatch, лидер российского рынка защиты корпоративных информационных систем от внутренних угроз, объявляет о выпуске новой версии продукта InfoWatchDeviceMonitor. Новинка защищает конфиденциальную информацию от копирования на мобильные устройства хранения данных и нецелевого вывода на печать. InfoWatchDeviceMonitorпредназначен для крупных компаний, а также для сегмента среднего и малого бизнеса.
Копирование конфиденциальных данных на мобильные устройства и их вывод на печать является одной из наиболее серьезных угроз информационной безопасности компаний. Согласно отчету аналитического центра InfoWatch в 2009 году 48% случаев утечки корпоративной информации было зафиксировано в процессе использования сотрудниками компаний мобильных устройств и при распечатывании документов.
Продукт InfoWatch Device Monitor позволяет компаниям разграничить права доступа пользователей корпоративной сети к портам рабочих станций в соответствии с действующими политиками информационной безопасности. Кроме того система обеспечивает контроль копирования конфиденциальных документов на сменные носители, подключаемые через различные порты: USВ, LPT, COM, а также CD/DVD-приводы, устройства, работающие по беспроводным протоколам (IRDA и Bluetooth) и мобильные устройства (под управлением Windows Mobile и Palm OS). Также система контролирует вывод данных на печать с рабочих станций.
Новая версия InfoWatch Device Monitor позволяет задать «белый список» устройств, разрешенных к использованию для конкретного пользователя/группы пользователей, доступ к которым будет открыт.
InfoWatch Device Monitor может быть использован как самостоятельный продукт и как составная часть комплексного решения по защите от утечки информации InfoWatch Traffic Monitor. Эти продукты в сочетании с системой шифрования данных InfoWatch CryptoStorage обеспечивают полный контроль обращения конфиденциальной информации в компаниях. Клиенты, внедрившие у себя комплекс решений InfoWatch, получают возможность контроля всех каналов утечки информации: электронной почты, форумов, чатов, систем мгновенных сообщений (типа ICQ), мобильные устройства хранения данных, локальные и сетевые принтеры.
На данный момент продукт доступен корпоративным заказчикам через партнерскую сеть InfoWatch.
Infowatch device monitor client что это за программа
Поставка и внедрение Check Point Next Generation Firewall.
Заказчик: «Государственный специализированный проектный институт» — проектирование объектов международного масштаба.
Год выполнения: 2020
Интеграция и настройка IP-телефонии Asterisk.
Заказчик: производственная компания «СПАРК» — производство и услуги волочения сварочной и нержавеющей проволоки.
Год выполнения: 2020
Проведение СП и СИ технических средств.
Заказчик: «Центр Сетевой Безопасности» — подбор решений и реализация проектов в области информационной безопасности.
Год выполнения: 2020
Отзывы клиентов
Ганин А.В., руководитель логистической и информационной службы Philipp Plein.
Русавский Р.Е., исполнительный директор по информационным технологиям АО «СОГАЗ».
Дополнительная информация
«Каждый из нас имеет право на свободу выбора. Правильно подобранный комплекс ИТ-решений — это инструмент, который позволяет нам самостоятельно выбирать образ жизни, включая дислокацию рабочего места, дресс-код и даже круг общения».
Елена Гуцало,
генеральный директор «Азон».
Вместе с образовательным порталом GeekBrains запустили факультатив про защиту персональных данных, в котором понятным языком структурировали информацию о том, что такое ПДн, где и в каком виде они могут находится, и как на практике обеспечить их защиту. Подробнее.
InfoWatch Traffic Monitor. По лезвию багов и фич
«Игорь, у него ДВА сердца. »
Анна Попова, руководитель Блока DLP ГК Инфосекьюрити, продолжает делиться своими впечатлениями от использования разных DLP-систем. В прошлой статье она рассказала о плюсах и минусах решения КИБ SearchInform. Сегодня, как и было обещано, поговорим про линейку продуктов InfoWatch. Только давайте сразу определимся, что на объективное сравнение мы не претендуем.
Вообще сложно понять, что такое объективное мнение о системе. Объективные характеристики – это соответствие DLP-системы техническим требованиям заказчика, требованиям ФСТЭК и т.п., а также соотнесение их с необходимыми мощностями. Все прочее – субъективно, ибо реальность такова, что функциональность, которая у одного клиента «взлетела», у другого упадет. И уж тем более не приходится говорить об объективном превосходстве одной системы над другой, если речь идет о её эксплуатации аналитиками. Кому-то нравится один интерфейс, кому-то другой, кому-то не нравится выгрузка событий, кому-то она не важна.
Про продукт DLP от компании InfoWatch сказано много; много копий сломано вокруг него. Мнения встречаются самые разнообразные – от самых полярных до нейтральных. С течением времени и компании, и продукту довелось пройти долгий и тернистый путь развития, отрастить не одну полезную функцию и даже попасть в «магический квадрант» Gartner. Так попробуем же разобраться, чего удалось достигнуть продукту, так ли он хорош (или плох), как о нём говорят.
Архитектура (who is who)
Прежде всего нужно понять, с чем мы работаем. Программный комплекс InfoWatch Traffic Monitor состоит из следующих компонентов:
InfoWatch Traffic Monitor – основной компонент, отвечающий за сетевой перехват и анализ перехваченных данных (собранных по сети и с агентов). Работает на RHEL/CentOS 6. Также отвечает за отрисовку веб-интерфейса, который является основной точкой входа для офицера ИБ при работе с системой.
InfoWatch Device Monitor – этот компонент отвечает за управление агентами (в том числе за агентские политики). Работает на Windows Server. Имеет отдельную консоль управления, которую можно инсталлировать на любую машину с Windows – главное, чтобы был открыт сетевой доступ до сервера Device Monitor.
InfoWatch Crawler – модуль, дающий возможность сканирования указанных пользовательских каталогов и сетевых директорий. Работает на Windows Server (может быть установлен на машину с сервером Device Monitor), но интерфейсно интегрируется в веб-консоль Traffic Monitor и управляется оттуда же.
InfoWatch Vision – опциональный компонент, позволяющий существенно упростить процесс расследования инцидентов ИБ за счёт визуализации. Представляет события из Traffic Monitor в виде автоматически перестраиваемых интерактивных графиков. Работает на Windows Server и базируется на платформе QlikSense.
InfoWatch Person Monitor – также опциональный модуль, предоставляющий функционал контроля рабочего времени. Работает на Win Server, берёт свои корни от легендарной, в некотором роде, системы «Стахановец».
Функционал блокировки
Так как система носит гордый статус DLP (что, напомним, означает Data Leakage Prevention – предотвращение утечки данных), в первую очередь рассмотрим «классический» функционал для таких систем – предотвращение. Что же может предложить нам рассматриваемый программный комплекс?
Даже в минимальной инсталляции (Traffic Monitor, Device Monitor) функционал достаточно богат: возможна блокировка почты, предотвращение записи на съёмные носители по результатам контентного анализа или по белым спискам носителей, запрет запуска приложений, запрет использования FTP. С подключением модуля Person Monitor функционал несколько расширяется: добавляется возможность очистки буфера обмена, запрет загрузки файлов в интернет.
Неподготовленному пользователю будет сперва непросто разобраться во всём многообразии различных консолей управления: так, одной из особенностей при работе с системой является необходимость «включения» некоторых каналов перехвата в Device Monitor.
В целом, функционал предотвращения не вызывает вопросов, здесь есть, где разгуляться; хотя самым требовательным клиентам, наверное, всё же придётся обратиться к более гибким конкурирующим продуктам. Что касается функционала учета рабочего времени, то в IWTM он реализован оригинальным, но достаточно удобным способом.
Функционал контроля рабочего времени
Рынок DLP, особенно в странах СНГ, сегодня не ограничивается исключительно функционалом предотвращения. Системы DLP мало-помалу вбирают в себя функционал другого класса продуктов – систем мониторинга рабочей деятельности сотрудников.
Рассматриваемый продукт не стал исключением и тоже вобрал кое-что. Насколько качественно?
Контролировать сотрудников можно при помощи модуля Person Monitor – начиная с кейлогера и заканчивая видео с рабочего стола, а также контролем веб-камеры и звука с микрофона. Однако не всё так радужно. Выше упомянуто, что данный модуль является интерпретацией нашумевшего «Стахановца». Отсюда и минусы – например, абсолютное отсутствие интеграции с остальными модулями комплекса и гарантированное покрытие «полным контролем» лишь пятидесяти машин. Особое умиление доставила защита БД – шифрование не нужно, данные в базе хранятся всего лишь в изменённой кодировке. «Чтобы никто не догадался. »
Кстати, касательно умилений: при первом открытии веб-интерфейса Person Monitor предупреждает, что соединение не зашифровано (обычный http, то бишь) и предлагает ссылку на мануал, по которому каждый может сам себе настроить https. Почему этого было не сделать «из коробки» – неясно.
Ещё есть очень интересная функция распознавания голоса в текст. Реализовано это через API Google, что для многих заказчиков будет проблемой: во-первых, требуется подключение сервера к интернету, а во-вторых, не каждый согласится передавать свою конфиденциальную информацию третьей стороне.
При проведении расследований по собранной Person Monitor’ом информации мы испытывали дискомфорт, потому что привыкли работать со всей доступной информацией со всех доступных каналов и по всем сотрудникам. К тому же местный поиск по насниффанным кейлогером данным обладает лишь самым базовым функционалом – например, есть морфология, но интересные и сложные правила текстового поиска построить не удастся. Тем не менее, на небольших объёмах трафика и в малых компаниях с этим всем вполне можно жить.
С технической точки зрения Person Monitor состоит из агента, собирающего данные с рабочей станции пользователя, сервера с БД (MSSQL), где эти данные потом хранятся, и Apache для Windows, отрисовывающего веб-интерфейс системы. По запросу пользователя составляется SQL-запрос, и его результат предстаёт перед юзером в виде html-страницы отчёта.
Говоря о малых и больших компаниях, плавно переходим к ещё одному модулю – Vision. Он был словно создан по нашему заказу – позволяет упорядочить перехваченные Traffic Monitor’ом данные для наглядного представления и помимо этого даёт возможность на лету перестраивать запросы. Всё это возможно не в последнюю очередь благодаря платформе QlikSense, оперирующей вытянутыми из Traffic Monitor событиями в оперативной памяти сервера Vision.
События нужно подгружать раз в определённый промежуток времени – например, каждую ночь, поскольку выгрузка больших объёмов данных занимает продолжительное время.
Общее впечатление
Рассматриваемая система, как и любая другая, не лишена недостатков. К сожалению, до сих пор остаются некоторые «детские болячки», тянущиеся с ранних версий (например, перечисленные проблемы Person Monitor’а); некоторые решения выглядят спорно – не всегда понятно, баг это или фича (разобщённость консолей и использование разных БД для хранения событий). Если вам необходим упор на какой-то конкретный функционал, а не комплексное решение, рекомендуется продолжить изучение рынка DLP.
Когда-то мы начали изучение рынка DLP именно с InfoWatch Traffic Monitor, поэтому минусы сразу бросились в глаза:
Нас порадовало стремление вендора реализовывать доработки для потенциальных клиентов, т.е. без наличия обязывающих договорных отношений. Это абсолютно реальный пример: через полгода после обсуждения кучи доработок, заявленных нами на пилоте в одном из клиентов, мы увидели их в реализованном функционале, что было крайне приятно.
Причем, IW один из немногих вендоров, который внимательно относится к обсуждению таких проблем, не отфутболивает по тегу – а зачем это нужно, вы первые, кто спрашивает об этом и т.п. (Саша Клевцов, передаем тебе отдельный привет и самые лучшие пожелания :)).
В сухом остатке имеем достаточно сбалансированную систему, закрывающую большинство требований самых занудных заказчиков и не обладающую завышенными системными требованиями. InfoWatch последовательно «прокачивает» свой комплекс, добавляя новые крутые функции. Остаётся только аккуратно сшить их между собой :).
Анна Попова, руководитель Блока DLP, ГК Инфосекьюрити
Никита Шевченко, руководитель группы инженерного сопровождения Блока DLP, ГК Инфосекьюрити
Infowatch device monitor client что это
Infowatch Device Monitor — это устаревшее решение компании Infowatch. Для защиты информации в компьютерных сетях и на съемных носителях используйте Infowatch Endpoint Security
Благодаря программе InfoWatch Device Monitor предприятие защищается от утечек конфиденциальных сведений посредством съемных носителей. Сертифицированные специалисты Azone IT выполняют установку агента на всех рабочих станциях и ноутбуках в организации клиента. Система очень удобна в управлении, которое осуществляется централизованно.
Предлагаемые нами решения InfoWatch Device Monitor позволяют своевременно обнаруживать, предотвращать и анализировать инциденты нарушения информационной безопасности. Модуль постоянно соотносит с правилами политики конфиденциальности все действия, совершаемые со съемными носителями. Все документы, которые выводятся на печать либо передаются на мобильные накопители, подвергаются теневому копированию.
С продуктом InfoWatch Device Monitor можно решать широкий круг задач по обеспечению информационной безопасности:
Полученные теневые копии перенаправляются на центральный сервер для последующей обработки и анализа. На их основании выносится вердикт: присутствует в документе конфиденциальная информация или нет. При этом каждый пользователь InfoWatch Device Monitor вправе создать свой «белый» список устройств. Доступ к ним свободен от каких-либо ограничений.
Внедрение новейших продуктов от крупнейших разработчиков
Специалисты Azone IT имеют большой опыт реализации проектов по информационной безопасности, в том числе по внедрению DLP-систем в ИТ-инфраструктуру предприятия. Наши специалисты подбирают те программные средства, которые наиболее точно соответствуют объему трафика, характеру угроз, количеству пользователей и прочим особенностям предприятия, анализируя для этого все существующие факторы. Среди наших клиентов — крупнейшие коммерческие и государственные организации страны.
Xakep #248. Checkm8
Система контроля утечек информации InfoWatch Device Monitor
предоставляет компаниям возможность контролировать и блокировать копирование
сотрудниками конфиденциальных документов или их частей на различные сменные
носители или их отправку на печать. Интеграция продуктов InfoWatch и ABBYY
обеспечит новый уровень защиты конфиденциальной информации благодаря высочайшей
точности распознавания данных в распечатываемых текстах и изображениях. Данная
интеграция положила начало технологическому и деловому сотрудничеству двух
ведущих российских производителей программного обеспечения.
Система контроля InfoWatch Device Monitor позволяет снимать теневые копии со
всех анализируемых документов, которые передаются на центральный сервер, где
выносится вердикт о том, содержит ли данный объект конфиденциальную информацию.
Если конфиденциальная информация обнаружена, то копирование или печать документа
могут быть заблокированы.
Ранее системы контроля утечек информации могли отслеживать данные лишь в
электронных документах, например MS Word и других текстовых редакторах, а также
в некоторых типах PDF файлов. Однако не все документы в организациях существуют
в электронном редактируемом виде. Остается угроза утечки информации при
копировании или печати полученных со сканера графических изображений документов,
цифровых фотографий документов, а также PDF файлов, не содержащих нужного
текстового слоя.
Мониторинг текстовой информации в графических изображениях становится
возможен с использованием технологий распознавания ABBYY FineReader. Технологии
распознавания компании ABBYY позволяют работать с документами практически на
всех языках мира и гарантируют высокое качество получаемых результатов.
«Мы очень рады тому факту, что теперь можем обеспечивать нашим клиентам более
высокий уровень защиты данных. Мы уверены, что интеграция взаимодополняющих друг
друга технологий всегда идет на благо пользователю!» – считает Светлана
Ашкинази, Директор по продуктам компании InfoWatch.
«Технологии распознавания в системах контроля утечек информации – новая и
весьма важная сфера работы для нас. Мы очень рады тому факту, что компания
InfoWatch выбрала наши технологии распознавания для оптимизации защиты данных.
Технологии ABBYY FineReader помогут сделать системы контроля утечек информации
наиболее универсальными, позволяющими отслеживать любую информацию вне
зависимости от носителя и типа документа» – прокомментировал Андрей Исаев,
директор департамента продуктов для разработчиков компании ABBYY.
Компания InfoWatch, лидер российского рынка защиты корпоративных информационных систем от внутренних угроз, объявляет о выпуске новой версии продукта InfoWatchDeviceMonitor. Новинка защищает конфиденциальную информацию от копирования на мобильные устройства хранения данных и нецелевого вывода на печать. InfoWatchDeviceMonitorпредназначен для крупных компаний, а также для сегмента среднего и малого бизнеса.
Копирование конфиденциальных данных на мобильные устройства и их вывод на печать является одной из наиболее серьезных угроз информационной безопасности компаний. Согласно отчету аналитического центра InfoWatch в 2009 году 48% случаев утечки корпоративной информации было зафиксировано в процессе использования сотрудниками компаний мобильных устройств и при распечатывании документов.
Продукт InfoWatch Device Monitor позволяет компаниям разграничить права доступа пользователей корпоративной сети к портам рабочих станций в соответствии с действующими политиками информационной безопасности. Кроме того система обеспечивает контроль копирования конфиденциальных документов на сменные носители, подключаемые через различные порты: USВ, LPT, COM, а также CD/DVD-приводы, устройства, работающие по беспроводным протоколам (IRDA и Bluetooth) и мобильные устройства (под управлением Windows Mobile и Palm OS). Также система контролирует вывод данных на печать с рабочих станций.
Новая версия InfoWatch Device Monitor позволяет задать «белый список» устройств, разрешенных к использованию для конкретного пользователя/группы пользователей, доступ к которым будет открыт.
InfoWatch Device Monitor может быть использован как самостоятельный продукт и как составная часть комплексного решения по защите от утечки информации InfoWatch Traffic Monitor. Эти продукты в сочетании с системой шифрования данных InfoWatch CryptoStorage обеспечивают полный контроль обращения конфиденциальной информации в компаниях. Клиенты, внедрившие у себя комплекс решений InfoWatch, получают возможность контроля всех каналов утечки информации: электронной почты, форумов, чатов, систем мгновенных сообщений (типа ICQ), мобильные устройства хранения данных, локальные и сетевые принтеры.
«InfoWatch Device Monitor представляет собой один из элементов общей системы внутренней информационной безопасности компании, обеспечивая защиту конфиденциальных данных непосредственно на рабочих станциях пользователей, – комментирует директор по продуктам InfoWatch Светлана Ашкинази. – Этот элемент в сочетании с другими решениями InfoWatch позволит компаниям выстроить надежную систему защиты корпоративной сети от внутренних угроз».
На данный момент продукт доступен корпоративным заказчикам через партнерскую сеть InfoWatch.
Контроль внешних устройств в InfoWatch Traffic Monitor
Сегодня модуль контроля различных локальных устройств (съемных накопителей, принтеров и пр.) является обязательным атрибутом любого полноценного DLP-решения. Не является исключением из данного правила и система InfoWatch Traffic Monitor Enterprise – один из лидеров российского DLP-рынка. Сегодня мы подробно рассмотрим входящий в его состав модуль InfoWatch Device Monitor.
Сертификат AM Test Lab
Номер сертификата: 102
Дата выдачи: 14.08.2012
Срок действия: 14.08.2017
Введение
На сегодняшний день существует два основных типа каналов утечки конфиденциальной информации: сетевые и локальные. К первому относятся все сетевые сервисы, а ко второму – различного рода устройства, которые могут использоваться для переноса данных, включая принтеры. Для обеспечения полноценной защиты компании от утечек необходимо контролировать все перечисленные каналы.
Контроль каналов разных типов требует принципиально разных подходов к организации системы защиты. Для сетевых применяются шлюзовые решения, которые анализируют трафик, уходящий за пределы или обращающийся внутри корпоративной информационной системы. Для локальных каналов необходимо использование специальных защищенных программ-агентов, которые инсталлируются непосредственно на конечные точки сети (рабочие станции и серверы). Они постоянно работают на компьютерах и реализуют заложенную в них администратором безопасности политику. Важно, однако, чтобы соблюдался принцип единого информационного пространства в пределах инфраструктуры, контролируемой DLP-решением. Это означает, что высокоуровневые политики безопасности должны применяться единообразно как на шлюзе, так и на конечных устройствах.
Поэтому, в большинстве DLP-систем шлюзовая и локальная защита реализуются в виде отдельных, но взаимозависимых модулей. Примером подобного решения является InfoWatch Traffic Monitor Enterprise. Здесь модуль контроля устройств может передавать собранную информацию в InfoWatch Traffic Monitor, что позволяет аккумулировать всю статистику в едином месте и облегчает работу администраторов безопасности. Фактически на локальной машине пользователя осуществляется только сбор «теневых копий» перемещаемой информации – при копировании на внешние устройства и носители, сохраняются логи пользователей, копии сообщений, отправленных с помощью программ-мессенджеров. При необходимости эту информации можно обрабатывать средствами «большого» лингвистического модуля InfoWatch Device Monitor. Например, проводить лингвистический анализ документов на основе отраслевой базы контентной фильтрации.
В остальном InfoWatch Device Monitor напоминает традиционное хостовое DLP-решением. Данный модуль позволяет осуществлять мониторинг широкого спектра устройств, подключаемых к локальному компьютеру, включая принтеры, контролировать передаваемую на них информацию, блокировать работу потенциально опасного или нежелательного оборудования. То есть, речь идет о всем спектре функций, обычно выполняемых хостовыми DLP-системами. Глубокая интеграция модуля с InfoWatch Traffic Monitor позволяет анализировать трафик на таких каналах, которые недоступны для традиционных шлюзовых DLP. Например, данные, передаваемые через Skype.
Состав InfoWatch Traffic Monitor Enterprise и InfoWatch Device Monitor
Перед тем как переходить InfoWatch Device Monitor необходимо сказать пару слов о системе в целом. InfoWatch Traffic Monitor Enterprise — это комплексное DLP-решение, которое позволяет контролировать как сетевые, так и локальные каналы утечки конфиденциальной информации. Для этого в нем реализованы следующие модули:
В свою очередь рассматриваемый нами InfoWatch Device Monitor также состоит из нескольких отдельных программных компонентов, устанавливаемых на разных компьютерах.
Системные требования InfoWatch Device Monitor
Системные требования модуля InfoWatch Device Monitor приведены в таблице.
Возможности InfoWatch Device Monitor
Для реализации защиты конфиденциальной информации от утечек в модуле InfoWatch Device Monitor реализованы следующие возможности.
Контроль съемных накопителей
Модуль InfoWatch Device Monitor позволяет контролировать использование широкого спектра накопителей, подключающихся к разным портам и интерфейсам компьютера. Всего поддерживается 18 типов устройств (с учетом разновидностей отдельных устройств их число доходит до 26), которые, так или иначе, могут использоваться для переноса информации и, соответственно, являются потенциально опасным каналом утечки конфиденциальных данных. Правила контроля могут создаваться с учетом типа устройства, способа подключения, текущего времени и пр. В зависимости от этих условий доступ к носителю может полностью запрещаться, полностью разрешаться или разрешаться только для чтения.
Контроль на уровне файлов
Рассматриваемый модуль позволяет создавать правила для контроля процесса записи на съемные накопители на уровне файлов. Это придает ему большую гибкость. Администратор безопасности может задать условия, согласно которым будет осуществляться теневое копирование записываемых на внешние накопители файлов на сервер InfoWatch Device Monitor или на локальный компьютер (если нет подключения к серверу с последующей автоматической передачей на сервер при восстановлении связи).
Контроль печатающих устройств
В рассматриваемой системе реализована возможность контроля использования печатающих устройств: локальных принтеров, доступных сотрудникам организации. При соблюдении заданных условий InfoWatch Device Monitor может осуществлять теневое копирование распечатываемых документов.
Контроль Skype
Одним из наиболее сложных для контроля интернет-каналов является Skype. Из-за встроенного в данную систему общения шифрования трафика шлюзовые решения оказываются бессильными. Модуль InfoWatch Device Monitor позволяет решить эту проблему. Осуществляя перехват на стороне рабочей станции, он способен сохранять чаты, SMS-сообщения и файлы, отправляемые через Skype. Перехват голосовых разговоров не предусмотрен.
«Белые» списки устройств
В рассматриваемом модуле присутствует возможность создания одного или нескольких «белых» списков. В них перечисляются конкретные устройства, доступ к которым должен быть открыт безусловно вне зависимости от того, какие правила на них распространяются.
Централизованное управление
В состав продукта входит специальная консоль управления, с помощью которой можно осуществлять удаленное централизованное администрирование всей системы, включая настройку политики безопасности, работу с пользователями, управление рабочими станциями, просмотр журнала событий и пр.
Система разграничения прав доступа
Доступ к консоли управления может иметь произвольное количество пользователей. Каждому из них можно задать роль, в соответствие с которой он получит права на выполнение тех или иных операций по работе с системой.
Разные способы развертывания системы
Клиентские программы модуля InfoWatch Device Monitor могут устанавливаться на конечных точках сети разными способами: вручную путем запуска дистрибутива, с использованием групповых политик Active Directory, с помощью собственной консоли управления. Это обеспечивает быстрое развертывание системы в информационных системах любого масштаба.
Интеграция с Active Directory
Модуль InfoWatch Device Monitor может извлекать из Active Directory информацию о рабочих станциях и пользователях. Это значительно упрощает и ускоряет внедрение и настройку системы, особенно в средних и крупных корпоративных сетях.
Масштабируемость
Система контроля, построенная на основе модуля InfoWatch Device Monitor, может легко масштабироваться за счет внедрения вспомогательных серверов. Это позволяет создать серверный узел, который может обслуживать бесконечно большое количество конечных точек сети (при увеличении нагрузки достаточно увеличить количество серверов в кластере).
Внедрение InfoWatch Device Monitor
Внедрение модуля InfoWatch Device Monitor в эксплуатацию начинается с разворачивания серверного компонента, дистрибутив которого входит в комплект поставки продукта. Первые несколько шагов установки не вызывают никаких трудностей: это просмотр титульной страницы, подписание лицензионного соглашения, выбор компонентов (сервер и/или консоль управления) и места их инсталляции.
Рисунок 1. Выбор устанавливаемых компонентов InfoWatch Device Monitor
Дальнейшие этапы установки зависят от того, какие компоненты были выбраны. Так, например, если устанавливается только консоль управления (например, на компьютер администратора безопасности), то больше никакие настройки уже не нужны. А вот если инсталлируется серверная компонента, то необходимо выполнить еще целый ряд шагов.
На первом из них указывается, какой инсталлируется сервер: основной или вспомогательный. Первый используется для вновь разворачиваемой системы, а второй применяется для масштабирования уже работающей. При выборе основного сервера необходимо указать, нужно ли создавать новую базу данных для работы InfoWatch Device Monitor.
Рисунок 2. Выбор типа сервера InfoWatch Device Monitor
Если был выбран вариант со вспомогательным сервером или была отключена функция создания новой базы данных, то следующим этапом станет указание существующей базы данных. В противном случае администратору будет предложено выбрать одну из возможных СУБД.
Рисунок 3. Выбор СУБД для работы InfoWatch Device Monitor
Далее необходимо указать параметры создаваемой базы данных. Для встроенной СУБД это будет просто имя файла и папка размещения, для Microsoft SQL Server – сервер и имя базы данных, а также параметры аутентификации и пр.
Рисунок 4. Настройка параметров базы данных
Следующий этап – ввод сетевых параметров сервера InfoWatch Device Monitor. К ним относятся порты, используемые консолью управления и программами-клиентами. Также можно указать IP-адрес, по которому будут подключаться консоли (если на сервере установлено несколько сетевых адаптеров).
Рисунок 5. Настройка сетевых параметров сервера InfoWatch Device Monitor
Далее необходимо указать пользователя, от имени которого будет запускаться сервис InfoWatch Device Monitor. Рекомендуется использовать для этого предварительно подготовленный аккаунт, обладающий необходимым набором прав доступа. Впрочем, при необходимости можно включить запуск сервиса от имени системной учетной записи (Local System).
Рисунок 6. Выбор пользователя, от имени которого будет запускаться сервер InfoWatch Device Monitor
На следующем шаге задается логин и пароль администратора сервера. Речь идет о пользователе, который имеет роль «Суперпользователь». Это специальная роль, которая не предназначена для регулярной работы. Она применяется только для первичного ввода администраторов в систему и работы в аварийных режимах.
Рисунок 7. Настройка администратора сервера InfoWatch Device Monitor
На последнем этапе необходимо указать адрес сервера InfoWatch Traffic Monitor, на который будет передаваться вся информация об инцидентах. Если в сети предполагается использовать только InfoWatch Device Monitor, то необходимо выбрать автономный режим работы, указав, нужно или нет сохранять теневые копии файлов.
Рисунок 8. Настройка подключения к серверу InfoWatch Traffic Monitor
После этого остается только запустить процесс установки и дождаться его завершения.
Настройка и эксплуатация InfoWatch Device Monitor
Весь процесс настройки InfoWatch Device Monitor осуществляется с помощью консоли управления. Для этого ее необходимо инсталлировать на компьютер администратора безопасности организации. После этого нужно запустить консоль и подключиться к серверу, введя его адрес и свои имя пользователя и пароль.
Рисунок 9. Запуск консоли управления InfoWatch Device Monitor
Первый запуск консоли управления InfoWatch Device Monitor осуществляется от имени администратора сервера. Этот пользователь обладает полными правами на настройку сервера. Однако разработчики рекомендуют не пользоваться этой учетной записью постоянно. Они предлагают зайти под ней и создать необходимое количество аккаунтов с ролями локальных администраторов (используется для работы с пользователями консоли управления) и офицеров безопасности (применяется для работы с политиками безопасности). И всю дальнейшую работу вести уже от их имени.
Рисунок 10. Создание нового пользователя консоли управления InfoWatch Device Monitor
Работа офицера безопасности начинается с установки программы-клиенты на всех конечных точках сети, которые необходимо контролировать. Как мы уже говорили, сделать это можно тремя способами. Первый из них – ручная установка. Рассматривать его мы не будем в силу его малой практической ценности. Второй вариант заключается в использовании групповых политик Active Directory. На нем мы также останавливаться не будем, ибо это относится больше к вопросам администрирования Windows, нежели к нашему сегодняшнему обзору.
А вот последний вариант, установка с помощью консоли управления, заслуживает самого подробного разбора. Тем более, он может использоваться не только для первичной установки программ-клиентов, но и для смены пароля (необходимого для их отключения и удаления), деинсталляции и пр. Реализуются все эти операции с помощью механизма задач.
Создание задачи осуществляется с помощью пошагового мастера. На первом этапе выбирается ее тип, например, первичное распространение программы-клиента.
Рисунок 11. Выбор типа задачи в консоли управления InfoWatch Device Monitor
Далее необходимо ввести имя и описание задачи, после чего указать компьютеры, на которые она будет распространяться. Компьютеры можно выбирать из сетевого окружения Windows, из списка сервера InfoWatch Device Monitor или указывать вручную путем ввода конкретных IP-адресов или их диапазонов.
Рисунок 12. Выбор компьютеров для задачи в консоли управления InfoWatch Device Monitor
Следующий шаг – выбор пула серверов, к которому будут подключаться устанавливаемые клиенты, и папки инсталляции. После этого указываются настройки клиентского модуля: его основные параметры, пароль для удаления, папку установки, логин и пароль, от имени которых будет осуществляться запуск сервиса и пр. Созданная задача может быть запущенна немедленно или в любой момент в будущем.
Рисунок 13. Настройка параметров работы клиентов в консоли управления InfoWatch Device Monitor
Далее можно переходить к настройке схемы безопасности. Этим термином в системе называют набор всех настроек, касающихся безопасности и контроля: политик, пользователей, рабочих станций и пр. По умолчанию она доступна только для чтения. Если администратор хочет что-то изменить, то он должен взять ее на редактирование. При этом она будет заблокирована – другие офицеры не смогут исправлять схему (она останется доступной только для просмотра) до ее освобождения.
Принципиальной особенностью схемы безопасности в InfoWatch Device Monitor является ее версионность. При каждом сохранении измененная схема записывается не поверх предыдущей, а в виде новой версии. При этом офицеры безопасности в любой момент могут просмотреть предыдущие ее варианты, что очень удобно.
Рисунок 14. Список версий схемы безопасности в консоли управления InfoWatch Device Monitor
Редактирование схемы безопасности осуществляется в консоли управления. В левой ее части размещен список вкладок: «Политики», «Пользователи», «Рабочие станции», «Белые списки» и пр. При выборе любой из них в правой части появляются относящиеся к ней параметры.
В первую очередь создаются политики. Каждая из них представляет собой набор правил, описывающих те или иные действия системы. В InfoWatch Device Monitor существует четыре вида правил. Основной – это Device Monitor. С помощью относящихся к нему правил можно разрешать или запрещать доступ к устройству в зависимости от его типа. Дополнительно в них может указываться период действия и то, для каких накопителей оно применяется: для всех или только для зашифрованных.
Последний пункт стоит отметить отдельно, поскольку он позволяет разрешить копирование корпоративной информации только на надежно защищенные «флешки» и избежать, тем самым, утечки конфиденциальных данных из-за небрежности сотрудников. В системе реализована поддержка следующих криптографических продуктов: InfoWatch CryptoStorage, Kaspersky CryptoStorage, TrueCrypt.
Рисунок 15. Политика безопасности в консоли управления InfoWatch Device Monitor
Теневое копирование включается в зависимости от типа файла, его размера, маски имени и пр. Следующий – Print Monitor. Правила этого вида применяются для теневого копирования документов, отправляемых на принтер. В качестве условий может выступать период действия, маски задания (имени документа) и процесса (приложения, из которого вызывается функция печати).
Последний вид правил предназначен для контроля Skype. При его включении система будет автоматически сохранять все чаты и исходящие SMS-сообщения. Дополнительно можно активировать теневое копирование передаваемых файлов или вообще запретить использование этого приложения.
Рисунок 16. Пример правила теневого копирования файлов модулем InfoWatch Device Monitor
После создания политик доступа необходимо заполнить списки контролируемых пользователей и рабочих станций. И те, и другие могут либо вноситься вручную, либо импортироваться из LDAP-директории. Пользователи объединяются в группы. Причем каждый из них может входить сразу в несколько групп. То же самое можно сказать и о рабочих станциях. Это необходимо, поскольку созданные политики безопасности присваиваются именно группам. Так что если пользователю нужно присвоить две разных политики, он должен относиться к двум группам.
Дополнительно можно настроить белые списки устройств. Их может быть несколько. В каждый список можно внести произвольное количество устройств, которые можно вводить вручную (зная их идентификаторы) или просто выбирать из списка доступных на рабочих станциях. Также в системе есть возможность изменения набора сигнатур, по которым определяется тип файла в правилах вида File Monitor.
После настройки схемы безопасности процесс работы администраторов безопасности сводится к просмотру событий о работе с внешними устройствами и Skype, теневых копий документов и доработке правил по мере необходимости. В большинстве случаев InfoWatch Device Monitor используется в качестве дополнительного решения, расширяющего возможности InfoWatch Traffic Monitor. Поэтому вся работа по мониторингу осуществляется именно в последнем продукте. Однако при автономной работе события можно просматривать и в консоли управления.
Рисунок 17. Просмотр событий в консоли управления InfoWatch Device Monitor
Выводы
В целом InfoWatch Device Monitor создает достаточно приятное впечатление. Возможностей данного продукта достаточно для контроля всех типов устройств, которые могут использоваться для переноса информации. Особенно радует функция создания отдельных правил для зашифрованных накопителей. Это позволяет реализовать такую часто использующуюся политику, как разрешение переноса корпоративных данных только на защищенных носителях. Естественно, если в компании используется один из поддерживаемых системой криптографических продуктов.
Правда, здесь не обошлось без достаточно серьезной «ложки дегтя». Дело в том, что контроль осуществляется только на уровне устройств. При этом отсутствует возможность автоматического разрешения или запрещения доступа в зависимости от копируемой информации. Может быть, блокировка записи на основе использования разных типов контекстного анализа (морфологический, шаблоны и пр.) используется не очень часто. Но вот функция запрета доступа в зависимости от типа файла наверняка оказалась бы нелишней. Впрочем, данная функция реализована в продукте InfoWatch EgoSecure, позволяющем в том числе ограничивать перемещение информации по типу файлов. Не исключено, что эти технологии со временем перекочуют в InfoWatch Traffic Monitor Enterprise.
Контроль доступа к устройствам удачно дополняется мониторингом печати, копирования файлов на съемные накопители и передачи сообщений через Skype. Эти функции расширяют возможности InfoWatch Device Monitor, заметно облегчая администраторам безопасности расследование инцидентов в тех случаях, когда полный запрет на использование накопителей или печатающих устройств оказывается нецелесообразным и препятствует нормальному протеканию бизнес-процессов организации.
Администрирование InfoWatch Device Monitor реализовано в удобной форме, что приятно удивило. Работа в консоли управления интуитивно понятна, так что разобраться в ней не составит для администраторов никакого труда. Особенно радует поддержка версионности схемы безопасности, которая позволяет отслеживать все изменения, вносимые ответственными сотрудниками в правила системы контроля.
В заключение можно сделать следующий вывод. Модуль InfoWatch Device Monitor действительно позволяет реализовать систему контроля доступа сотрудников организации к съемным накопителям. Причем особенно эффективно он работает совместно с InfoWatch Traffic Monitor. Возможности масштабирования, функции удаленного разворачивания и удобного централизованного управления не оставят равнодушным администраторов и офицеров безопасности. Общее впечатление портит только отсутствие возможности автоматического управления доступом в зависимости от типа и содержимого копируемых на носители файлов.