DeviceLock

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск
DeviceLock DLP
Devicelock logo 300 text.jpg
Тип

DLP/IPC

Разработчик

DeviceLock, Inc./Смарт Лайн Инк

Операционная система

Windows, macOS

Первый выпуск

1996

Последняя версия

8.2 (21 апреля 2017 года)

Лицензия

Проприетарное ПО

Сайт

devicelock.com/ru

DeviceLock DLP — программный комплекс класса Endpoint DLP, предназначенный для защиты организаций от утечек информации. Реализует как контекстные методы защиты информации (контроль доступа к портам, интерфейсам, устройствам, сетевым протоколам и сервисам, журналирование доступа и событий передачи и сохранения данных), так и контентные методы фильтрации данных, с применением контентной фильтрации непосредственно на контролируемых рабочих станциях при попытках передачи или сохранения. Является полноценной endpoint DLP-системой российской разработки[1] сертифицированной ФСТЭК[2].

Осуществляет контроль и протоколирование (включая теневое копирование) доступа пользователей к периферийным устройствам, портам ввода-вывода и сетевым протоколам. DeviceLock Endpoint DLP Suite позволяет контролировать весь спектр потенциально опасных устройств и каналов сетевых коммуникаций: USB-порты, дисководов, CD- и DVD-приводов, сменных накопителей, смартфонов на базе iOS, Windows Mobile, Palm и Blackberry, любых внешних и внутренних накопителей и жёстких дисков, локальных и сетевых принтеров, а также портов FireWire, Wi-Fi, Bluetooth, COM, LPT, IrDA., буфер обмена Windows (Clipboard), простые и SSL-защищенные SMTP-сессии электронной почты, HTTP и HTTPS-сессии, MAPI и IMB/Lotus Notes, веб-почту (webmail) и социальные сети, службы мгновенных сообщений (Instant Messaging), файловый обмен по протоколам FTP и FTP-SSL, общие сетевые ресурсы (SMB), файлообменные сервисы (такие, как DropBox, SkyDrive), Telnet-сессии, Torrent.

Весь процесс контроля как устройств, так и сетевых коммуникаций, включая контентную фильтрацию, осуществляется установленными на рабочих компьютерах пользователей исполнительными агентами.

Дополнительно к модулям контроля устройств, сетевых протоколов и контентной фильтрации в комплексе представлены поисковый сервер (DeviceLock Search Server) и сервер сканирования и обнаружения данных на рабочих станциях и сетевых хранилищах - DeviceLock Discovery.

Важная архитектурная особенность DeviceLock — возможность развёртывания и управления через групповые политики в домене Active Directory, благодаря чему продукт легко интегрируется в существующую инфраструктуру организаций любого масштаба, причём эта возможность не является единственным способом управления продуктом.

Продукт доступен на сайте разработчика, пробный период составляет 30 дней без ограничения функциональных возможностей.

Архитектура. Управление[править | править вики-текст]

Архитектура[править | править вики-текст]

DeviceLock Service — агент DeviceLock, устанавливаемый на каждый защищаемый компьютер и работающий на уровне ядра Microsoft Windows. Запускается автоматически, невидим для локального пользователя. Включает в себя компоненты DeviceLock Base, NetworkLock и ContentLock, с опциональным лицензированием компонентов в зависимости от потребностей клиента.

DeviceLock Enterpise Server(DLES) — дополнительный компонент (необязательный), используется для централизованного сбора и хранения данных теневого копирования и аудита (использует в свою очередь MS SQL Server). Вторая функция DLES — мониторинг текущего состояния агентов и применяемых политик, а также для развертывания агентов в локальной сети. Не лицензируется, может быть использован в любом количестве для создания любой инфраструктуры сбора данных аудита.

DeviceLock Search Server (DLSS) — дополнительный компонент (необязательный), используется для индексирования и полнотекстового поиска по содержимому файлов теневого копирования и журналам, хранящимся в базе данных DeviceLock Enterprise Server. Полнотекстовый поиск особенно полезен в случаях, когда необходим поиск по содержимому документов, хранимых в базе данных теневого копирования.

Комплекс DeviceLock Endpoint DLP Suite состоит из взаимодополняющих функциональных модулей — DeviceLock, NetworkLock, ContentLock и DeviceLock Search Server (DLSS). Модуль DeviceLock является базовым и обязательным, модули ContentLock и NetworkLock лицензируются опционально. Установка всех модулей комплекса осуществляется единовременно (единый дистрибутив). Для включения функциональных возможностей модулей ContentLock и NetworkLock достаточно загрузить соответствующие лицензии.

DeviceLock Discovery - самостоятельный продукт, позволяющий сканировать рабочие станции и сетевые хранилища в целях обнаружения данных заданного типа посредством контентного анализа, с выполнением заданных действий по устранению выявленных нарушений.

Комплекс DeviceLock DLP образуется совокупностью DeviceLock Endpoint DLP Suite и DeviceLock Discovery.

Централизованное управление[править | править вики-текст]

DeviceLock имеет систему удаленного управления, позволяющую управлять всеми функциями продукта с рабочего места администратора системы.

Для управления системой в продукте есть четыре Консоли управления:

  • DeviceLock Management Console — представляет собой оснастку (snap-in) для Microsoft Management Console), со стандартным интерфейсом, интуитивно понятным любому администратору Windows. Предназначена для подключения к отдельному компьютеру (агенту DeviceLock) или DeviceLock Enterprise Server'у.
  • DeviceLock Group Policy Manager — оснастка, интегрируемая в редактор политик Windows и позволяющая управлять системой через групповые политики Windows в домене Active Directory.
  • DeviceLock Enterprise Manager — дополнительная консоль с собственным интерфейсом для пакетного управления DeviceLock в сетях, где не используется Active Directory.
  • DeviceLock WebConsole — дополнительная консоль, реализованная в виде web-интерфейса для любого браузера.

Полная интеграция DeviceLock в групповые политики Windows позволяет обеспечить первичное развертывание продукта в автоматическом режиме, автоматически устанавливать агентов на новые компьютеры, подключаемые к локальной сети, и осуществлять настройку агентов также в автоматическом режиме. Установка агентов возможна с предопределенными настройками (используются создаваемые администратором в консоли DeviceLock Management Console MSI-пакеты).

Для сетей, где нет домена Windows, предусмотрена поддержка служб каталогов LDAP, таких как Novell eDirectory, Open LDAP и др.

Защита информации[править | править вики-текст]

  • Контроль доступа устройств и портов. Компонент DeviceLock позволяет контролировать доступ пользователей и групп пользователей к любым локальным устройствам ввода-вывода в зависимости от времени и дня недели. Для сменных носителей, дисководов, жестких дисков, CD/DVD-приводов и ленточных накопителей можно устанавливать доступ «только чтение».
  • Контроль сетевых коммуникаций. Компонент NetworkLock обеспечивает контроль каналов сетевых коммуникаций на рабочих компьютерах, включая распознавание сетевых протоколов независимо от используемых портов и способа подключения к Интернет, детектирование коммуникационных приложений и их селективную блокировку, реконструкцию сообщений и сессий с восстановлением файлов, данных и параметров, а также событийное протоколирование и теневое копирование передаваемых данных. Компонент контролирует передачу почтовых сообщений по открытым и SSL-защищенным SMTP-сессиям (с раздельным контролем сообщений и вложений), web-доступ и другие HTTP/HTTPS-приложения, почтовые службы MAPI и IBM/Lotus Notes, web-почту Gmail, Yahoo! Mail, Windows Live Mail, Mail.ru, GMX.de, Web.de и др., мессенджеры Skype,ICQ, MSN Messenger, Jabber, IRC, Yahoo! Messenger, Mail.ru Agent, WhatsApp Web, социальные сети Twitter, Facebook, LiveJournal, LinkedIn, MySpace, Одноклассники, ВКонтакте и др., передачу файлов по протоколам FTP и FTP-SSL, файлообменные сервисы (такие как Dropbox, SkyDrive, Яндекс.Диск, Облако Mail.ru и др.), a также Telnet-сессии и протокол Torrent.
  • Контентный анализ и фильтрация данных. Компонент ContentLock обеспечивает функции контентного мониторинга и фильтрации файлов и данных, передаваемых с/на сменные носители и в каналах сетевых коммуникаций. Контентные правила в ContentLock могут быть запрещающими и разрешающими. Технологии контентной фильтрации также применяются для фильтрации данных теневого копирования, чтобы сохранять только те файлы и данные, которые потенциально значимы для криминалистического анализа и задач аудита информационной безопасности. ContentLock извлекает и отфильтровывает содержимое (контент) данных из файлов и объектов, включая передаваемые в службах мгновенных сообщений, веб-формах, социальных сетях и т. д. Контентная фильтрация основывается на созданных администратором шаблонах регулярных выражений (RegExp) с различными численными и логическими условиями соответствия шаблона критериям и ключевым словам. Среди параметров, которые можно использовать для задания таких шаблонов, присутствуют такие, как пользователи, компьютеры, группы пользователей, порты и интерфейсы, устройства, типы каналов и направление передачи данных, диапазоны дат и времени и др. ContentLock также позволяет задать пассивные правила анализа содержимого, не запрещающие передачу данных, но выявляющие наличие заданного содержимого в передаваемых данных в целях отправки алерта или создания соответствующей записи в журнале. В состав ContentLock включен модуль оптического распознавания символов (OCR), также функционирующий непосредственно на контролируемом компьютере.
  • Сканирование и обнаружение. Компонент DeviceLock Discovery позволяет автоматически сканировать рабочие станции и сетевые хранилища удаленно или с помощью небольшого собственного агента в целях обнаружения данных заданного типа посредством контентного анализа. При использовании агентского режима сканирования возможно выполнение заданных администратором действий по устранению выявленных нарушений (уведомление пользователя, отправка алерта, удаление файла, изменение прав доступа к файлу или его шифрование, журналирование). По итогам сканирования заданных целей генерируется подробный отчет о результатах сканирования.
  • Тревожные оповещения (алертинг). DeviceLock обеспечивает тревожные оповещения о инцидентах безопасности в реальном режиме времени (алертинг). Оповещения (алерты) могут отправляться по протоколам SMTP и/или SNMP. Предусмотрено два типа оповещений: административные и специфичные для устройств и протоколов. Алертинг существует параллельно правилам аудита в целях обеспечения требований инцидент-менеджмента и отменяет аудит, являющийся основой для сбора доказательной базы инцидентов ИБ.
  • Белый список USB-устройств. Модуль DeviceLock позволяет задать для определенных пользователей/групп свой список устройств, доступ к которым всегда будет разрешен, даже если запрещено использование USB-порта. Устройства можно идентифицировать по модели и уникальному серийному номеру.
  • Белый список сетевых протоколов. Модуль NetworkLock позволяет задавать политики безопасности, основанные на принципе «белого» списка сетевых протоколов, который дополнительно может детализироваться по IP-адресам и их диапазонам, маскам подсетей, сетевым портам и их диапазонам. Дополнительно можно использовать такие параметры, как адреса электронной почты отправителя/получателя и имена аккаунтов в мессенджерах (для соответствующих сервисов и протоколов).
  • Временный Белый список. DeviceLock позволяет предоставлять временный доступ к USB-устройствам при отсутствии сетевого подключения к агенту (в случаях, когда прямое управление агентом с консоли администратора невозможно — например, когда пользователь с ноутбуком в командировке). Администратор сообщает такому пользователю специальный короткий код, который временно разблокирует доступ только к требуемому устройству на определенное администратором время.
  • Белый список носителей. DeviceLock позволяет разрешить использование только авторизованных администратором CD/DVD дисков, запретив при этом использование самого привода. Список задается по пользователям и группам пользователей. Функция может быть полезна, например, для обеспечения «лицензионной чистоты» пользовательских компьютеров.
  • Журналирование. DeviceLock обеспечивает детальное журналирование всех действий пользователей с устройствами и сетевыми протоколами по факту обращения к ним, передачи файлов и прочих данных (копирование, чтение, удаление, чат и т. п.). Дополнительно можно включить журналирование системных событий в DeviceLock и действий администраторов.
  • Теневое копирование. DeviceLock позволяет сохранять точные копии файлов и данных, копируемых пользователями с их компьютеров на внешние устройства и носители, распечатываемых документов, данных, передаваемых через COM- и LPT-порты, и в каналах сетевых коммуникаций.
  • Централизованное хранение журналов аудита и теневого копирования. Данные аудита и теневые копии скопированных пользователями файлов можно хранить как локально на пользовательских компьютерах, так и в базе данных DeviceLock Enterprise Server, что позволяет обеспечить централизованную обработку данных аудита.
  • Контроль буфера обмена (Clipboard). DeviceLock перехватывает и контролирует использование системного буфера обмена Windows для предотвращения передачи данных между приложениями, блокировки снимков экрана (PrintScreen). Данная функция особенно полезна при контроле терминальных сессий, позволяя предотвратить или запротоколировать передачу данных между терминальным сервером и удаленным хостом.
  • Блокировка кейлогеров. DeviceLock обнаруживает большинство аппаратных USB-кейлогеров и блокирует подключенные к ним клавиатуры. Для PS/2 клавиатур применяется технология скремблирования, искажающая вводимые с такой клавиатуры данные (на кейлоггер записывается «мусор»).
  • Поддержка offline-политик. DeviceLock может автоматически переключаться между двумя режимами контроля — online и offline, применяя один набор политик доступа и аудита для ситуации, когда рабочая станция подключена к корпоративной сети (online), и другой — когда отключена от сети (offline).
  • Поддержка шифрования. DeviceLock не шифрует устройства самостоятельно, но позволяет обеспечить гарантированное шифрование дисков посредством интеграции с криптопродуктами третьих сторон (Windows 7 BitLocker To Go, PGP Whole Disc Encryption, TrueCrypt, DriveCrypt, VipNet SafeDisc). Есть также поддержка аппаратного шифрования флешек Lexar.
  • Детектирование и фильтрация типов файлов. DeviceLock позволяет расширить контроль устройств и портов до уровня типов файлов — агент определяет реальный тип файла. Администратор может задавать уточненные до типов файлов политики контроля доступа, аудита и теневого копирования. Используется бинарно-сигнатурный метод детектирования типов файлов, поддерживается более 4000 типов файлов.
  • Расширенный контроль КПК и смартфонов. DeviceLock позволяет задавать расширенные политики контроля доступа и аудита для мобильных устройств под управлением Windows Mobile, Palm OS, устройств iPhone/iPod. Администратор может задать разрешения на различные типы объектов (файлы, контакты, почта и т. д.), передаваемых с/на КПК. Аналогично задаются уточненные политики для правил аудита и теневого копирования. Расширенный контроль протоколов синхронизации с мобильными устройствами не зависит от типа подключения мобильного устройства (USB, COM, IrDA, BlueTooth, WiFi).
  • Отчеты. DeviceLock позволяет формировать графические и сводные отчеты на основе данных, хранимых в базе данных DeviceLock Enterprise Server, а также отчеты по текущим настройкам и по используемым на рабочих станциях устройствам.

Технологии Virtual DLP[править | править вики-текст]

DeviceLock поддерживает решения для виртуализации рабочих сред и приложений от трех основных разработчиков – это Microsoft (RDS/RDP), Citrix (XenApp, XenDesktop) и VMware (VMware View).

Благодаря прозрачному встраиванию агентов DeviceLock в виртуальные среды (VDI или опубликованные приложения) DLP-политики обеспечивают контроль потока данных между виртуальным рабочим столом или опубликованным приложением и перенаправленными на удаленные рабочие либо персональные компьютеры периферийными устройствами, включая съемные накопители, принтеры, USB-порты и буфер обмена данными. Сетевые коммуникации пользователей внутри терминальной сессии также контролируются DLP-механизмами DeviceLock. Кроме того, ведется централизованное журналирование действий пользователя и теневое копирование переданных им файлов и данных, создаются алерты.

Технологии для поддержки виртуальных сред в DeviceLock (VirtualDLP) особенно актуальны для решения проблем безопасности в модели BYOD. DLP-защита для виртуальных сред и BYOD-модели, основанной на виртуализации рабочих сред и приложений, является универсальной и работает на всех видах личных устройств. В их числе могут быть любые мобильные платформы - такие как iOS, Android и WindowsRT, тонкие терминальные клиенты под управлением Windows CE, Windows XP Embedded или Linux, а также любые компьютеры под управлением OS X, Linux или Windows.

Дополнительные возможности[править | править вики-текст]

  • Централизованный мониторинг. DeviceLock Enterprise Server позволяет контролировать текущее состояние агентов на рабочих станциях и текущие политики безопасности (в сравнении с сохраненной эталонной политикой), а также ведет журнал мониторинга. Возможна автоматическая замена текущих политик на эталонные. При проверке состояния агента на удаленном компьютере DeviceLock Enterprise Server может также выполнить установку или обновление агента.
  • Защита от локального администратора. DeviceLock обеспечивает контроль целостности своего сервиса и защиту от несанкционированного подключения к сервису, его остановки, удаления или изменения применяемых политик. Функция реализована путём блокировки доступа для всех пользователей, кроме включенных во внутреннюю группу «Администраторы DeviceLock».
  • Полнотекстовый поиск. Дополнительный компонент DeviceLock Search Server (поисковый сервер) обеспечивает полнотекстовый поиск по содержимому файлов теневого копирования и журналам, хранящимся на DeviceLock Enterprise Server. Поисковый сервер DeviceLock может автоматически распознавать, индексировать, находить и отображать документы множества форматов (Adobe Acrobat (PDF), Ami Pro, Архивы (GZIP, RAR, ZIP), Lotus 1-2-3, Microsoft Access, Microsoft Excel, Microsoft PowerPoint, Microsoft Word, Microsoft Works, OpenOffice, Quattro Pro, WordPerfect, WordStar и многие другие). В состав DeviceLock Search Server включен модуль оптического распознавания символов (OCR) для извлечения и индексирования текстовых данных в графических файлах и изображениях, встроенных в другие документы.
  • Контроль доступа к устройствам и интерфесам компьютеров под управлением OS X. Предлагается отдельная версия компонента DeviceLock for Mac.

Разработчик[править | править вики-текст]

Правообладатель и разработчик DeviceLock DLP — российская компания ЗАО «Смарт Лайн Инк.» (SmartLine Inc.). Компания основана в 1996 году[3] и изначально была ориентирована на разработку программного обеспечения для администрирования компьютерных сетей, а позднее сфокусировалась на задачах информационной безопасности, а именно предотвращения утечек данных. Компания декларирует более 70 тысяч клиентов в 90 странах мира — государственные, военные, медицинские[4], образовательные, крупнейшие финансовые и коммерческие учреждения, а также компании малого и среднего бизнеса. Программное обеспечение DeviceLock установлено на более чем 5 миллионах компьютерах (по данным на 2014 год).

Начиная с 2008 года Смарт Лайн выпускает только продукт DeviceLock DLP. Разработка и поддержка выпускавшихся ранее продуктов Active Network Monitor, Active Ports Monitor и Remote Task Manager прекращена. Кроме DeviceLock DLP, компания предоставляет бесплатную утилиту "DeviceLock Plug-and-Play Auditor" для анализа подключенных USB-устройств на рабочих станциях сети[5].

Штаб-квартира и офис разработки и технической поддержки компании находятся в Москве, Россия.

Компания также имеет офисы продаж и поддержки в США, Великобритании, Германии и Италии. Финансовые показатели деятельности не раскрываются. Штат компании — около 70 человек, в том числе около 40 разработчиков.

См. также[править | править вики-текст]

Примечания[править | править вики-текст]

  1. Программный комплекс DeviceLock DLP включен в Единый реестр российского ПО, CNews.ru. Проверено 18 ноября 2017.
  2. Смарт Лайн Инк получила лицензию ФСТЭК (ru-RU), PCMag Russian Edition (6 июля 2017). Проверено 18 ноября 2017.
  3. Российские IT-компании за рубежом: ISDEF (рус.). Проверено 18 ноября 2017.
  4. Как обеспечить информационную безопасность в крупной медицинской клинике, PC Week/RE («Компьютерная неделя»). Проверено 18 ноября 2017.
  5. Бесплатный DeviceLock Plug and Play Auditor, Windows IT Pro/RE 2005 № 08, OSP (13.12.2005). Проверено 18 ноября 2017.

Ссылки[править | править вики-текст]