Главная Новости

Zecurion (SecurIT) Zgate 4.0 – обзор новых возможностей

Опубликовано: 06.09.2018

видео Zecurion (SecurIT) Zgate 4.0 – обзор новых возможностей

Zecurion DLP — киберсистема для выявления и блокировки утечек данных

 

 

 

1. Введение



2. Системные требования Zecurion Zgate 4.0

3. Новые возможности Zecurion Zgate 4.0

4. Работа с Zecurion Zgate 4.0

5. Выводы

 

Введение

Zecurion Zgate – вторая часть DLP-решения от компании Zecurion, предназначенная для контроля сетевых каналов связи. Совместно с другим продуктом – Zecurion Zlock -- они составляют комплексное решение, которое позволяет контролировать как локальные, так и сетевые каналы утечки конфиденциальной информации. Формально оба продукта являются независимыми. Однако они интегрируются друг с другом и управляются из единой консоли управления, что позволяет говорить о них именно как о комплексном решении. На ресурсах Anti-Malware.ru ранее был опубликован обзор новой версии продукта Zecurion Zlock 5.0.


Вебинар Zecurion Zlock 5.0 — криптопериметр в DLP

Продукт Zecurion Zgate появился осенью 2008 года. И с тех пор выходит вот уже четвертая его версия. При этом наблюдаются две тенденции в развитии продукта. Во-первых, это увеличение количества контролируемых каналов утечки конфиденциальной информации. А, во-вторых, расширение и увеличение удобства использования административных функций. Не стала исключением из этого правила и Zecurion Zgate 4.0.


Zecurion Data Loss Prevention

В новой версии рассматриваемого продукта есть две ключевые особенности. Первая – это очередное расширение контролируемых каналов. Теперь к ним относятся еще и фото- и видео-хостинги, а также сайты по поиску работы. Последние стоит отметить особо. Ведь Zecurion Zgate 4.0 может находить сотрудников, которые активно рассылают свои резюме. Данная возможность является весьма важной, т.к. рассылающий своё резюме сотрудник обладает низкой лояльностью к настоящему месту работы и, соответственно, существует риск утечки внутренней информации, например, базы данных клиентов. Также в Zecurion Zgate 4.0 появилась возможность контролировать произвольные веб-сервисы. Речь идет об абсолютно любых сервисах, которые размещаются на веб-страницах и позволяют отправлять информацию на сервер.

Второй ключевой новинкой в рассматриваемом решении стала система отчетности. Разработчики наконец-то доработали ее, сделав гораздо удобнее, а также включив в нее возможность строить графические отчеты. Это позволяет сделать работу администраторов безопасности более наглядной и удобной, а также сэкономить немало времени. Кроме того, нельзя забывать, что графические отчеты очень важны при общении с руководством. Они позволяют в доступной форме продемонстрировать результаты работы, обозначить актуальные проблемы и пр.

Помимо этого в Zecurion Zgate 4.0 произошел целый ряд других изменений, о которых мы расскажем подробно (с обзором предыдущей версии Zecurion Zgate можно ознакомиться здесь ).

 

Системные требования Zecurion Zgate 4.0

Системные требования Zecurion Zgate 4.0 приведены в таблице ниже.

 

  Сервер Zgate Сервер журналов Консоль управления
Процессор Pentium 4 и выше
Оперативная память 1 ГБ и выше
Операционная система Microsoft Windows 2000 SP4/2000 Server SP4/XP SP3/2003 SP2/Vista SP1/2008/2008 R2/7
Дополнительное ПО   СУДБ Microsoft SQL Server 2000 SP2, 2005, 2008 или Oracle Database 10g Release 2 (10.2  

 

Новые возможности Zecurion Zgate 4.0

Подробно возможности продукта Zecurion Zgate описаны в наших прошлых обзорах ( обзор версии 2.0 , обзор версии 3.0 ). В настоящем же материале мы будем говорить только о тех функциях, которые появились или претерпели изменения в версии 4.0.

Расширение списка поддерживаемых интернет-сервисов

В прошлой версии рассматриваемый продукт мог контролировать широкий спектр интернет-сервисов, включая социальные сети, блоги, форумы и пр. В Zecurion Zgate 4.0 стали доступны фото- и видеохостинги, в частности, YouTube, Picasa и Panoramio. Это позволяет контролировать процесс загрузки сотрудниками на них файлов.

Кроме того, в новой версии появилась возможность контролировать большое количество различных сайтов по поиску работы (на данный момент поддерживается 18 крупнейших веб-проектов). Это весьма важная особенность. Ведь активная деятельность сотрудника компании на таких проектах может означать лишь одно – он подыскивает себе новое место. Или, по крайней мере, вполне реально рассматривает такую возможность. А, значит, он является потенциально опасным носителем конфиденциальной информации. Кроме того, таким сотрудником наверняка заинтересуются его руководитель и представители HR-службы.

Перехват произвольных веб-сервисов

Немаловажной новинкой в Zecurion Zgate 4.0 стала возможность перехвата любых произвольных веб-сервисов. Он может осуществляться в одном из двух режимов: «Все» или «Только распознанные». В первом случае реализуется перехват всего трафика, включая обмен служебной информацией. Второй вариант доступен не для всех, а только для поддерживаемых сервисов (например, для загрузки файлов в «Яндекс.Почте»). При его использовании в журнале сохраняется только значимая информация без служебных данных.

Новая система отчетности

В Zecurion Zgate 4.0 была переработана новая система отчетности. Для работы в ней предусмотрены несколько режимов: «Архив» (просмотр сообщений и выполнение действий с ними), «Карантин» (аналогично «Архиву», но с сообщениями из карантина), «Табличный отчет» (просмотр статистики в табличной форме), «Диаграмма» (просмотр статистики в графической форме) и «Беседа». Особенно интересен последний вариант, который позволяет в удобной форме отследить все контакты любого сотрудника. Подробнее о типах отчётов будет рассказано ниже.

Использование в архиве нескольких баз данных

В прошлых версиях просмотр статистики мог осуществляться только из одной базы данных. В Zecurion Zgate 4.0 появилась возможность подключения к архиву сразу же нескольких баз.

Новый метод анализа

В новой версии рассматриваемого продукта появился новый метод контекстного анализа документов – «Поиск похожего». Он используется для того, чтобы определить наличие заданного множества слов в тексте. Данный метод во многом похож на обычный анализ по словарю. Но в нем можно задать допустимый процент содержания искомых слов. Нарушением политики безопасности будет считаться превышение этого предела.

Оптимизация некоторых алгоритмов контекстного анализа

В Zecurion Zgate 4.0 была выполнена оптимизация некоторых алгоритмов контекстного анализа: поиска по цифровым отпечаткам и методу Байеса. По заявлениям разработчиков это позволило повысить производительность их работы в среднем более чем на 20%.

Новый OCR-модуль

В прошлой версии рассматриваемого продукта для распознавания текста на изображениях использовался OCR-модуль от ABBYY FineReader. В Zecurion Zgate 4.0 в дополнение к нему было добавлено ядро Tesseract OCR от Google, который может успешно работать в виртуальных средах.

 

Работа с Zecurion Zgate 4.0

В целом процесс развертывания и первоначальной настройки Zecurion Zgate 4.0 осуществляется точно так же, как и внедрение предыдущей версии этого продукта, поэтому рассматривать его мы не будем (об этом можно прочитать здесь ). Различия минимальны. Например, при выборе режима зеркалирования помимо вариантов WinPcap и Microsoft Network Monitor появился новый пункт – Zcap. Это собственный драйвер Zecurion, который устанавливается вместе с сервером Zgate.

Сам принцип работы также остался неизменным. Администрирование системы осуществляется с помощью единой консоли управления Zecurion. Вот только в Zecurion Zgate 4.0 используется новая версия этой программы с номером 1.5.

Контроль фото- и видео-хостингов, а также сайтов по поиску работы включается там же, где и остальные сервисы – в разделе «Настройки -> Интернет». Для каждого из них появился свой пункт, в котором можно включить или отключить сбор трафика.

 

Рисунок 1. Включение контроля сайтов по поиску работы в Zecurion Zgate 4.0

 

Контроль сайтов по поиску работу можно включать даже в тех случаях, когда контроль остальных сервисов не осуществляется. Ведь он может рассматриваться не только с точки зрения обеспечения информационной безопасности компании, но и для выявления нелояльно настроенных сотрудников, которые ищут себе другое место работы.

Также среди интернет-сервисов появился еще один дополнительный пункт – «Прочие Web-сайты». Он позволяет включить или отключить контроль всех веб-сервисов, которые отсутствуют в списке доступных сервисов. При этом можно выбирать, какой трафик будет сохраняться – весь или только распознанный (без служебной информации). Фактически, это позволяет организовать тотальный контроль над размещением в Сети любой информации. Насколько это целесообразно – нужно решать в каждом конкретном случае. Можно только сказать, что подобная возможность явно не является лишней, и будет активно использоваться во многих организациях.

 

Рисунок 2. Включение контроля всех веб-сервисов в Zecurion Zgate 4.0

 

Сильнее всего изменился процесс работы с собираемой информацией. Теперь в системе может присутствовать не один, а сразу же несколько архивов. Каждый из них представляет собой отдельную базу данных. При этом в любой момент времени только один архив является основным. Именно в него и записывается вся собираемая информация. Остальные архивы могут использоваться только для просмотра информации и генерации отчетов.

Для подключения нового архива используется специальное окно (меню «Отчеты», пункт «Подключить архив»). В нем необходимо указать параметры доступа к базе данных с информацией: ее тип и наименование, сервер СУБД, данные для авторизации. В будущем любой архив можно удалить или изменить его параметры.

 

Рисунок 3. Подключение нового архива в Zecurion Zgate 4.0

 

После создания всех необходимых архивов и подключения баз данных можно переходить к работе с отчетами. В Zecurion Zgate 4.0 эта часть изменилась достаточно сильно.  Теперь пользователи могут самостоятельно создавать отчеты. Каждый из них представляет собой набор фильтров и условий для отбора данных, а также настройки их отображения. В результате можно один раз настроить отчет, после чего буквально несколькими нажатиями мышки сгенерировать его с актуальной на текущий момент информацией.

Но и это еще не все. В комплект поставки входит 14 готовых отчетов, которые позволяют просмотреть наиболее часто требуемые данные, например, отчет за вчерашний день, просмотр важных событий, просмотр IM-событий и пр. Причем эти отчеты создаются автоматически для всех добавляемых в систему архивов (баз данных).

Также нужно отметить, что в Zecurion Zgate 4.0 появилось сразу пять видов отчета.

«Просмотр архива». Этот отчет предназначен для просмотра информации, отбираемой из всех записей, которые есть в базе данных. С его помощью администратор безопасности может просматривать любые события из архива, указывая отображаемые колонки. «Просмотр карантина». Этот отчет подобен предыдущему. Вот только данные для него отбираются не из всей базы, и лишь из карантина. Данный отчет достаточно удобен для просмотра информации именно по трафику, который был помещен системой в карантин. «Табличный отчет». Данный отчет используется для построения наглядных таблиц с количественной информацией по тем или иным событиям. Может использоваться для сбора и просмотра статистических данных. «Диаграмма». Этот отчет во многом похож на табличный, только информация в нем представляется в графической форме – в виде столбцов, графиков или круговых диаграмм. Он прекрасно подходит для предоставления отчетности руководству, поскольку является самым наглядным из всех. «Беседа». Это наиболее интересный отчет в плане своей необычности. С его помощью можно увидеть весь круг собеседников выбранного сотрудника. При этом учитываются все контролируемые средства связи, что позволяет построить весьма полный круг общения любого пользователя корпоративной сети.

Отчеты настраиваются очень просто. Для этого достаточно настроить несколько блоков параметров:

интервал времени; фильтр – параметры фильтрации по колонкам (например, по отправителю, получателю, дате и пр.); поиск похожего – параметры фильтрации по словам в теме сообщения,  тексте сообщения или вложения; выводимые колонки – перечень отображаемых в отчете колонок; группировка – выбор колонок, по которым возможна группировка записей (например, по получателю, по типу сообщения и пр.) дополнительные условия – набор дополнительных условий отбора, связанных друг с другом логическими операторами "И" или «ИЛИ».

 

Рисунок 4. Настройка нового отчета в Zecurion Zgate 4.0

 

Такой подход в новой системе отчетности позволяет строить очень гибкие отчеты, отображающие только нужную информацию в удобной и наглядной форме.

 

Рисунок 5. Просмотр архива в Zecurion Zgate 4.0

 

Рисунок 6. Пример табличного отчета в Zecurion Zgate 4.0

 

Рисунок 7. Пример графического отчета в Zecurion Zgate 4.0

 

Рисунок 8. Пример отчета «Беседа» в Zecurion Zgate 4.0

 

Выводы

Самым главным отличием новой версии продукта Zecurion Zgate, вне всякого сомнения, можно назвать новую систему отчетности. Ведь именно неудобный и ненаглядный процесс просмотра собранной информацией являлся, пожалуй, самым значимым недостатком прошлых версий рассматриваемого решения. Между тем, работа с данными является основной задачей администраторов безопасности, использующих средства контроля сетевых каналов связи.

Также радует продолжающееся расширение количества поддерживаемых системой защиты сервисов, в частности, включение в них сайтов по поиску работы. Более того, наличие функции сбора данных со всех сервисов поможет в случае необходимости установить тотальный контроль над передачей информации в Интернет сотрудниками компании.

 

Для большей наглядности представляем таблицу сравнения возможностей Zecurion Zgate 4.0 с предыдущей версией.

  Zecurion Zgate 3.0 Zecurion Zgate 4.0
Контроль электронной почты + +

(добавлена поддержка MAPI)
Контроль IM + +
Контроль наиболее популярных веб-сервисов +  + 

(добавлены фото- и видеохостинги и сайты по поиску работы)
Контроль всех веб-сервисов, неподдерживаемых системой - +
Контролько FTP/HTTP/HTTPS + +
OCR-модуль ABBYY FineReader ABBYY FineReader, GoogleTesseract OCR
Система отчетности +/-

(есть, но неудобна в использовании)
+
Построение графических отчетов - +
Поддержка нескольких архивов - +

 

Достоинства

широкий спектр поддерживаемых веб-сервисов, включая сайты по поиску работы; отдельный контроль всех остальных веб-сервисов (нативная поддержка которых не включена Zecurion Zgate 4.0), с помощью которых возможна отправка информации в Интернет; гибкая система построения отчетности; возможность создания графических отчетов; специальный отчет «Беседа», который позволяет в удобной форме отследить круг общения сотрудников компании.

Недостатки

не всегда удобный и дружественный для пользователя интерфейс.

Здесь уместно сделать небольшое отступление. Исторически так сложилось, что большинство DLP-решений нельзя назвать удобными в использовании. Не до конца продуманный интерфейс и неочевидность операций в нем – распространенное явление в продуктах этого класса. Скорее всего, это идет еще с тех времен, когда DLP-решения были узкоспециализированными продуктами, рассчитанными на использование профессионалами высокого уровня. Сегодня же ситуация изменилась. А поэтому тот производитель, который первым выпустит продукт с действительно удобным и интуитивно понятным инструментом при равных с другими функциональных возможностях получит заметное конкурентное преимущество.

rss