InfoWatch Traffic Monitor Enterprise представляет собой комплексное решение, предназначенное для защиты информации от внутренних угроз, которое позволяет контролировать различные каналы утечки данных.
В основе решения лежат четыре модуля:
- Модуль защиты периметра корпоративной сети – InfoWatch Traffic Monitor – осуществляет контроль данных, передаваемых с помощью web-почты, блогов, форумов и др., зашифрованного Интернет-протокола, корпоративной почтовой системы, систем обмена сообщениями (например, ICQ, Skype) и распечатываемых посредством сетевых принт-серверов.
- Модуль защиты рабочих станций – InfoWatch Device Monitor – осуществляет контроль печати документов посредством локальных принтеров, контроль доступа к устройствам ввода-вывода и контроль копирования информации на съемные носители
- Модуль для контроля информации в общедоступных сетевых хранилищах и системах документооборота – InfoWatch Crawler – осуществляет сканирование и применение политик к информации, хранящейся «в покое», а также поддерживает в актуальном состоянии эталонные документы и выгрузки.
- InfoWatch Forensic Storage – специализированное хранилище, содержащее архив всех информационных потоков организации, в том числе нарушения политик безопасности и факты утечек конфиденциальной информации; является юридически значимой доказательной базой при проведении внутрикорпоративного расследования инцидентов и в ходе судебных разбирательств.
Программные агенты Device Monitor, установленные на рабочих станциях, контролируют локальные процессы обработки информации. При сохранении документов на съемные носители агент создает идентичную копию этого документа, а при печати – его графическую копию. Созданные документы называются теневыми копиями. Теневые копии передаются на сервер Traffic Monitor для дальнейшего анализа.
Рисунок 2. Схема принципа работы InfoWatch Device Monitor
Рисунок 3. Главное окно консоли управления InfoWatch Device Monitor
Передача информации через сетевые каналы передачи данных (web-сервисы, почтовые и файловые сервера, сервисы мгновенных сообщений) осуществляется через сетевой шлюз и контролируется модулем сетевого перехвата, который также передает перехваченные данные на сервер Traffic Monitor.
Рисунок 4. Предустановленные политики безопасности в InfoWatch Traffic Monitor
Если в потоке передаваемых данных была выявлена конфиденциальная информация и система классифицировала эту передачу как инцидент, автоматически срабатывает режим защиты, и запускается процедура реагирования на инцидент, например, происходит блокирование передачи информации, отправитель получает предупредительное сообщение, или оповещение приходит лицу, ответственному за информационную безопасность. Информация об инциденте вместе с копией перехваченного документа сохраняется в архиве.
Модуль InfoWatch Crawler сканирует общедоступные сетевые хранилища данных и системы документооборота и создает теневые копии найденных документов. Теневые копии передаются на сервер Traffic Monitor для дальнейшего анализа и применения политик.
Сервер Traffic Monitor выполняет анализ полученных данных и автоматически выносит вердикт, является ли операция нарушением политики безопасности. Если политика безопасности требует предотвращения передачи данных, Traffic Monitor осуществляет блокирование выполнения операции. Все перехваченные данные и результаты их анализа сохраняются в InfoWatch Forensic Storage.
InfoWatch Traffic Monitor является сертифицированным средством защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00 (сертификат ФСТЭК № 3205 действителен до 21.07.2017 года).
Аналогом данного программного обеспечения для защиты информации от внутренних угроз является контур информационной безопасности SearchInform (сертификат ФСТЭК № 2851 действительный до 21.03.2016 года).
Антивирусная защита
Антивирус обеспечивает комплексную защиту компьютера от различного вида угроз, сетевых и мошеннических атак.
В Kaspersky Endpoint Security каждый тип угроз обрабатывается отдельным компонентом. Компонентами можно управлять независимо друг от друга, а также настраивать параметры их работы. Компоненты разделяют на две большие группы: контроль и защита.
К компонентам контроля относят:
- Контроль запуска программ отслеживает попытки запуска программ пользователями и регулирует запуск программ.
- Контроль активности программ регистрирует действия, совершаемые программами в операционной системе, и регулирует деятельность программ исходя из того, к какой группе компонент относит эту программу. Для каждой группы программ задан набор правил. Эти правила регламентируют доступ программ к персональным данным пользователя и ресурсам операционной системы. К таким данным относятся файлы пользователя (папка «Мои документы», файлы cookie, данные об активности пользователя), а также файлы, папки и ключи реестра, содержащие параметры работы и важные данные наиболее часто используемых программ.
- Мониторинг уязвимостей в режиме реального времени проверяет программы, запущенные на компьютере пользователя, а также проверяет программы в момент их запуска.
- Контроль устройств позволяет установить гибкие ограничения доступа к устройствам, являющимся источниками информации (например, жесткие диски, съемные диски, ленточные накопители, CD/DVD-диски), инструментами передачи информации (например, модемы), инструментами превращения информации в твердую копию (например, принтеры) или интерфейсами, с помощью которых устройства подключаются к компьютеру (например, USB, Bluetooth, Infrared).
- Веб-Контроль. Данный компонент позволяет установить гибкие ограничения доступа к веб-ресурсам для разных групп пользователей.
К компонентам защиты относят:
- Файловый Антивирус позволяет избежать заражения файловой системы компьютера. Компонент запускается при старте Kaspersky Endpoint Security, постоянно находится в оперативной памяти компьютера и проверяет все открываемые, сохраняемые и запускаемые файлы на компьютере и на всех присоединенных дисках. Файловый Антивирус перехватывает каждое обращение к файлу и проверяет этот файл на присутствие вирусов и других программ, представляющих угрозу.
- Мониторинг системы получает данные о действиях программ на компьютере и предоставляет эту информацию другим компонентам для более эффективной защиты компьютера.
- Почтовый Антивирус проверяет входящие и исходящие почтовые сообщения на наличие в них вирусов и других программ, представляющих угрозу.
- Веб-Антивирус проверяет трафик, поступающий на компьютер пользователя по протоколам HTTP и FTP, а также устанавливает принадлежность ссылок к вредоносным или фишинговым веб-адресам.
- IM-Антивирус проверяет трафик, поступающий на компьютер по протоколам программ для быстрого обмена сообщениями. Компонент обеспечивает безопасную работу со многими программами, предназначенными для быстрого обмена сообщениями.
- Сетевой экран обеспечивает защиту личных данных, хранящихся на компьютере пользователя, блокируя все возможные для операционной системы угрозы в то время, когда компьютер подключен к интернету или к локальной сети. Компонент фильтрует всю сетевую активность согласно настраиваемым правилам.
- Мониторинг сети предназначен для просмотра в режиме реального времени информации о сетевой активности компьютера.
- Защита от сетевых атак отслеживает во входящем сетевом трафике активность, характерную для сетевых атак. Обнаружив попытку сетевой атаки на компьютер пользователя, Kaspersky Endpoint Security блокирует сетевую активность атакующего компьютера.
Рисунок 5. Окно настройки параметров программы
Kaspersky Endpoint Security является сертифицированным средством защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00 (сертификаты ФСТЭК № 2484 для Windows и № 2485 для Linux действительные до 18.11.2017 года). Аналогом данного программного решения является антивирусное ПО Dr.Web (сертификат ФСТЭК № 2446 действительный до 20.09.2017 года).