DLP SecureTower: как создать правило по цифровому отпечатку

Автор статьи: Завадская Анастасия, 

менеджер по развитию бизнеса, ведущий специалист отдела продаж

Опыт работы: 7 лет

Мы продолжаем цикл статей, в которых просто и понятно рассказываем, как работать с DLP-системой Falcongaze SecureTower. 

Сегодня я подробно рассмотрю:

• как работают правила безопасности по цифровому отпечатку (далее — ЦО);
• чем они могут быть полезны;
• и как их создавать.

Настройку обычного правила безопасности мы уже рассмотрели в этой статье.

Как работают правила по цифровому отпечатку?

SecureTower перехватывает все переписки, документы и файлы с компьютеров, на которых установлены агенты.

Благодаря технологии цифровых отпечатков система может:

• сравнивать каждый перехваченный документ или файл с так называемым банком цифровых отпечатков; 
• находить данные, имеющие заданное количество совпадений с ЦО;
• оповещать офицера безопасности о движении конфиденциальных данных;
• и блокировать нежелательные операции с ними.

Чем полезно данное правило?

Рассмотрим вопрос на примере нашего кейса. Сотрудница компании-клиента скопировала фрагмент конфиденциального текста в середину многостраничного документа с нейтральным названием, а затем попыталась отправить его.

Попытка не удалась. 

SecureTower перехватила документ, сравнила его с отснятым цифровым отпечатком, выявила соответствие и заблокировала передачу. Чувствительная информация не была похищена, а интересы компании — не пострадали.

О других примерах применения DLP-системы вы можете почитать на нашем сайте.

Мы предусмотрели в системе правила безопасности по ЦО как раз для ситуаций, когда:

• сотрудники знают, что работодатель ведет наблюдение, и пытаются «замаскировать» передачу конфиденциальной информации;
• сотрудники вносят изменения в важные документы, условия договоров — с целью получить личную выгоду или из злого умысла;
• организация большая, к корпоративной сети подключены сотни компьютеров, и ручной контроль движения конфиденциальных данных практически неосуществим.

Как создать правило по цифровому отпечатку?

Мы начинаем работу в модуле Политики безопасности, вкладка «Правила». Затем жмем кнопку «Добавить» и в раскрытом списке выбираем «Цифровые отпечатки».

Перед нами открывается окно настройки нового правила по ЦО. Что дальше?

Снимаем цифровой отпечаток с текстовых документов, которые нужно защитить

Для этого жмем кнопку «Менеджер цифровых отпечатков». Раскроется окно, в котором вы можете загрузить в систему файлы и папки с чувствительной информацией.

SecureTower поддерживает работу с тремя видами цифровых отпечатков:

• с файлов и папок;
• с записей баз данных;
• с CSV-файлов.

Сегодня в качестве примера мы рассмотрим создание банка цифровых отпечатков. Для этого в раскрывающемся списке выбираем графу «Файлы и папки» и загружаем документы, движение которых необходимо взять под контроль. В нашем случае это документы с названиями «Баланс», «Для служебного пользования», «Список клиентов».

Не забываем ввести имя банка данных — у нас это будет «Отдел продаж».

Жмем кнопку «Сохранить» — и в списке «Источники данных» появится сохраненный банк. Выбираем его и возвращаемся к настройке правила безопасности.

На заметку! Работать в менеджере цифровых отпечатков можно и из Консоли Администратора.

Настраиваем правило по ЦО

Банк данных ЦО выбран. Теперь мы можем перейти к настройке самого правила.

Во вкладке «Общие настройки» мы можем ввести название правила и выбрать:

• тип вхождения — обратное, прямое, наибольшее;
• порог срабатывания — от 1% до 100%.

Выбираем обратное вхождение — оно рекомендуется системой по умолчанию — и порог срабатывания в 50%. 

На заметку! Чем ниже порог срабатывания, тем больше сработок правила даст система. 

Следующий шаг — выбор условий поиска. 

Представим, что перед нами стоит задача защитить документы от несанкционированной передачи. Необходимо контролировать действия двух ключевых сотрудников с доступом к конфиденциальной информации.

Настраиваем правило, как показано на изображении. Для этого добавляем условие, в первом пустом поле выбираем «Область поиска» и ставим галочку в графах «Почта», «Мессенджеры» — будем контролировать все каналы коммуникации из этих категорий, в столбце Web отмечаем галочками поля «Web-коммуникации» и «Файлы», в столбце «Прочее» отмечаем «Файлы с устройств», «Облачные хранилища», «Принтеры». 

Затем к данному условию добавляем блок и указываем сотрудников, активность которых мы должны отслеживать — обязательно с логическим оператором «Или».

Дополнительно

Здесь же мы можем применить новое правило ко всем данным, что уже перехватила система — для этого нужно активировать переключатель внизу окна настройки. SecureTower проанализирует данные и выявит нарушения, если они были.

Во вкладке «Настройки уведомления» вы можете указать электронную почту или корпоративный мессенджер, куда будет направлено уведомление о нарушении, во вкладке «Уровень риска» — указать уровень и категорию риска.

Правило настроено.

Жмем кнопку «Сохранить». Новое правило по ЦО отобразится в категории «Пользовательские правила». 

По цифровым отпечаткам возможен не только мониторинг, но и блокировка передачи данных. Настроить блокировку вы можете в Консоли Администратора в модуле Агенты, подраздел «Блокировка». Выбираем протокол — объект анализа — цифровые отпечатки. Система заблокирует подозрительные действия, даже если устройство будет отключено от сети.

Что дальше?

В рамках ретроспективного анализа уже перехваченных данных система выявила один инцидент. Локальный пользователь, за которым велось наблюдение, отправил охраняемый документ удаленному пользователю через мессенджер Skype.

В правой части рабочего окна вы можете найти инцидент (или выбрать из списка, если их несколько) и получить подробную информацию, включая название передаваемого файла, степень похожести. Также вы можете ознакомиться с самим документом.

Для поиска заблокированных документов необходимо создать обычное правило:

В заключение

В SecureTower имеется большое количество встроенных политик, а также предусмотрена возможность создавать собственные. От того, как хорошо настроены политики, зависят число ложных сработок, количество своевременно выявленных инцидентов и, разумеется, информационная безопасность вашей организации.

Поэтому каждого клиента нашей организации сопровождают менеджер и технический специалист — даже во время бесплатного тестового периода. Они обучат вас работе с DLP-системой SecureTower и помогут настроить политики безопасности под задачи вашего бизнеса. 

Тут можно оформить заявку на тестирование DLP-системы Falcongaze SecureTower.