Информационная безопасность


Verdasys Digital Guardian


Американская компания Verdasys поставляет комплексное решение Digital Guardian, предназначенное для выявления и предотвращения утечек прямо на уровне рабочих станций. Кстати, продукт невозможно упрекнуть в отсутствии комплексности, поскольку Digital Guardian покрывает все каналы утечки, делая это в тех местах, где информация используется.

Реализацией такого подхода являются программные агенты, устанавливаемые на персональные компьютеры и ноутбуки в организации. Агенты поддерживают работу в операционной системе Windows, а также в среде Citrix Metaframe и Microsoft Terminal Server. Агенты отвечают за ведение подробных журналов; за контроль над приложениями, коммуникациями и данными; выявление нарушений политики; за фильтрацию событий, записанных в журнал, перед отправкой на сервер Digital Guardian.

Точно так же, как в случае PC Acme, агент Digital Guardian невидим для пользователя, поэтому может быть внедрен удаленно и централизованно. Однако в отличие от PC Acme в составе Digital Guardian появляется сервер, куда агенты отсылают протоколы событий. Третьим компонентом продукта является консоль управления, к которой можно получить доступ по сети. Консоль позволяет составлять отчеты, собирать и анализировать информацию, контролировать инсталляцию агентов, управлять политиками и т. д. Архитектура решения проиллюстрирована на схеме 4.

Схема 4. Архитектура Digital Guardian

Продукты Verdasys отличаются широким спектром сопроводительных услуг. Так, поставщик оказывает консалтинговые услуги еще до внедрения проекта, разрабатывает и внедряет предварительные проекты (например, создается экспериментальная группа рабочих станций, осуществляется мониторинг действий пользователей этих станций и анализируются результаты), активно участвует во внедрении продукта и тренингах персонала.

Тем не менее, Digital Guardian обладает двумя недостатками. Во-первых, он не развешает архивировать электронную корреспонденцию, что затрудняет расследование инцидентов IT-безопасности, усложняет процесс поиска инсайдера и не позволяет обеспечить соответствие с различными законам и нормативными актами.
Во-вторых, Digital Guardian не производит контентную фильтрацию отправляемого по сети трафика, поскольку фильтрация, вынесенная на уровне рабочей станции, требует огромного количества аппаратных ресурсов. К такому вполне логичному выводу пришли эксперты IDC (см. «Information Leakage Detection and Prevention: Turning Security Inside-Out»): фильтрацию, с использованием лингвистического анализа, другие поставщики осуществляют на выделенных серверах. Следовательно, агенты Digital Guardian в состоянии отличить чувствительные документы от не конфиденциальных только с помощью заранее заданного списка защищаемых объектов (или помеченных цифровыми водяными знаками, что не суть важно). Отсюда, если пользователь создаст новый документ и наполнит его чувствительными сведениями, например, в рамках подготовки отчета (ведь работу с буфером обмена контролируется агентами), такой документ останется уязвимым до тех пор, пока не будет внесен в список защищаемых объектов. Именно для того чтобы исключить подобную брешь, разработчики решений в сфере выявления и предотвращения утечек применяют контентную фильтрацию.


Содержание раздела