Защита от инсайдеров и утечки информации. Защита от инсайдеров при помощи связки из Zgate и Zlock Методы борьбы с инсайдерами

Вид информации

Расположение

Производственная

Планы производства, интеллектуальная собственность, описание технологий, внутренние разработки

Файловые серверы, СУБД

Конфиденциальная

Инфраструктурная

Карты IT- инфраструктуры, IT- системы, логины

Локально

Чувствительная

Финансовая

Бухгалтерская информация, финансовые планы, отчеты, балансы

База 1С либо другая среда работы финансового департамента

Конфиденциальная

Кадровая

Личные карточки персонала

Локально, файловый сервер

Чувствительная

Файлы и документы для внутреннего обмена

Персональная

Внутрикорпоративная

Отчеты собраний, приказы, распоряжения, статьи

Файловый сервер

Общедоступная

Развлекательная

Фотографии, видеоролики, фильмы, аудиокниги

Расширенные папки либо выделенный файловый сервер

Последние исследования в области информационной безопасности, например ежегодное CSI/FBI ComputerCrimeAndSecuritySurvey, показало, что финансовые потери компаний от большинства угроз год от года снижаются. Однако есть несколько рисков, убытки от которых растут. Одно из них -- намеренное воровство конфиденциальной информации или же нарушение правил обращения с ней теми сотрудниками, доступ которых к коммерческим данным необходим для выполнения служебных обязанностей. Их называют инсайдерами.

В подавляющем большинстве случаев воровство конфиденциальной информации осуществляется с помощью мобильных носителей: CD и DVD-дисков, ZIP-устройств и, самое главное, всевозможных USB-накопителей. Именно их массовое распространение и привело к расцвету инсайдерства по всему миру. Руководители большинства банков прекрасно понимают, чем может грозить, например, попадание базы данных с персональными данными их клиентов или, тем более, проводками по их счетам в руки криминальных структур. И они пытаются бороться с вероятным воровством информации доступными им организационными методами.

Однако организационные методы в данном случае неэффективны. Сегодня можно организовать перенос информации между компьютерами с помощью миниатюрной флэшки, сотового телефона, mp3-плеера, цифрового фотоаппарата... Конечно, можно попробовать запретить проносить на территорию офиса все эти устройства, однако это, во-первых, негативно скажется на отношениях с сотрудниками, а во-вторых, наладить реально действенный контроль над людьми все равно очень сложно -- банк не «почтовый ящик». И даже отключение на компьютерах всех устройств, которые могут использоваться для записи информации на внешние носители (FDD и ZIP-диски, CD и DVD-приводы и т.п.), и USB-портов не поможет. Ведь первые нужны для работы, а ко вторым подключается различная периферия: принтеры, сканеры и т.п. И никто не может помешать человеку отключить на минуту принтер, вставить в освободившийся порт флэш-диск и скопировать на него важную информацию. Можно, конечно, найти оригинальные способы защиты. Например, в одном банке попробовали такой метод решения проблемы: залили место соединения USB-порта и кабеля эпоксидной смолой, намертво «привязав» последний к компьютеру. Но, к счастью, сегодня существуют более современные, надежные и гибкие способы контроля.

Самым эффективным средством минимизации рисков, связанных с инсайдерами, является специальное программное обеспечение, осуществляющее динамическое управление всеми устройствами и портами компьютера, которые могут использоваться для копирования информации. Принцип их работы таков. Для каждой группы пользователей или для каждого пользователя в отдельности задаются разрешения на использование различных портов и устройств. Самое большое преимущество такого ПО -- гибкость. Вводить ограничения можно для конкретных типов устройств, их моделей и отдельных экземпляров. Это позволяет реализовывать очень сложные политики распределения прав доступа.

Например, некоторым сотрудникам можно разрешить использовать любые принтеры и сканеры, подключенные к USB-портам. Все же остальные устройства, вставленные в этот порт, останутся недоступными. Если же в банке применяется система аутентификации пользователей, основанная на токенах, то в настройках можно указать используемую модель ключей. Тогда пользователям будет разрешено использовать только приобретенные компанией устройства, а все остальные окажутся бесполезными.

Исходя из описанного выше принципа работы систем защиты, можно понять, какие моменты важны при выборе программ, реализующих динамическое блокирование устройств записи и портов компьютера. Во-первых, это универсальность. Система защиты должна охватывать весь спектр возможных портов и устройств ввода-вывода информации. Иначе риск кражи коммерческой информации остается недопустимо высоким. Во-вторых, рассматриваемое ПО должно быть гибким и позволять создавать правила с использованием большого количество разнообразной информации об устройствах: их типов, производителей моделей, уникальных номеров, которые есть у каждого экземпляра и т.п. Ну и, в-третьих, система защиты от инсайдеров должна иметь возможность интеграции с информационной системой банка, в частности с ActiveDirectory. В противном случае администратору или офицеру безопасности придется вести по две базы пользователей и компьютеров, что не только неудобно, но и увеличивает риски возникновения ошибок.

По данным различных аналитических компаний утечка информации очень часто происходит не за счет ее хищения извне, а за счет передачи конфиденциальной информации собственными сотрудникам представителям организаций-конкурентов. Сегодня существует множество различных устройств, на которые могут быть скопированы любые документы, хранящиеся в локальной сети организации.

По данным различных аналитических компаний утечка информации очень часто происходит не за счет ее хищения извне, а за счет передачи конфиденциальной информации собственными сотрудникам представителям организаций-конкурентов. Сегодня существует множество различных устройств, на которые могут быть скопированы любые документы, хранящиеся в локальной сети организации. И это не только внешние USB-носители или CD/DVD-диски. Копировать информацию можно и на mp3-плееры, сотовые телефоны, которые напрямую к компьютеру могут и не подключаться, на внешнее оборудование, которое может подключаться к локальной сети через Wi-Fi и иными способами. Кроме того - это и отправка по электронной почте, средствами программ для обмена мгновенными сообщениями, через форумы, блоги, чаты. Вариантов много, можно ли защититься от них?

Для защиты данных от инсайдеров применяют различные методы, в число которых входит и использование специальных программ, предназначенных для контроля за использованием периферийных устройств. В этой статье мы рассмотрим несколько программ, как зарубежных производителей, так и отечественных, и постараемся определить, где и когда их следует применять.

Программа предназначена для ограничения доступа к различным периферийным устройствам, с возможностью создания "белых" списков, ведению мониторинга работы пользователей, теневому копированию файлов, копируемых на или с контролируемых устройств. Имеется возможность как централизованной установки драйверов слежения, так и их локальной установки.

Установка программы может осуществляться как централизованно, так и локально, если доступ к защищаемому компьютеру через сеть ограничен или невозможен. В единый дистрибутив входит несколько модулей: серверный, устанавливается на сервере офисной локальной сети разрешает/запрещает те или иные действия, сохраняет информацию в базу данных; клиентский, реализованный в виде драйвера слежения; администраторский и база данных, в качестве которой используется SQLite.

Драйвера слежения обеспечивают контроль различных портов, включая USB , CIM, LPT, WiFi, ИК и другие. В зависимости от типа порта можно запрещать доступ полностью, разрешать чтение или открывать полный доступ к устройству. Распределение доступа по времени отсутствует. Также замечено, что при разрешении доступа только на чтение к устройствам типа USB-флешек, возможность редактирования обычных текстовых файлов на этих устройствах с возможностью их сохранения на этом же носителе остается.

Показывает USB-устройства, подключенные к компьютерам, и ведет журнал действий пользователей с внешними накопителями информации. Информация о времени подключения/отключения устройств и о том, какие файлы и когда были прочитаны или записаны, сохраняется в базу данных. Реализовано теневое копирование файлов, которые читались или записывались на USB-устройства. Теневого копирования файлов, отправляемых на печать или иные устройства, нет, ведется лишь их журналирование.

Существует понятие "белого списка", в который заносятся USB-устройства, доступ к которым должен быть открыт всегда и на всех компьютерах (например, USB-ключи). Этот список единый для всех компьютеров, индивидуальных списков для отдельных пользователей не имеется.

обеспечивает настройку доступа к различным внешним устройствам, но не выделяет при этом из общего списка USB-устройств принтеры, подключаемые к этим портам. В то же время она различает сменные носители и может устанавливать для них различные виды доступа. Сменные носители автоматически заносятся в базу устройств (программа занесет в базу все USB-носители, когда-либо подключавшиеся к конкретному компьютеру), что позволяет применять назначенные для них права доступа для любых защищаемых с помощью программы компьютеров.

В ней имеется возможность использовать централизованную установку клиентских частей с помощью групповой политики Active Directory. При этом сохраняется возможность их установки локально и через панель администратора программы. Разграничение прав доступа осуществляется на основе политик контроля доступа, однако, допускается создание нескольких политик, которые могут применяться индивидуально для различных компьютеров. Кроме функции контроля доступа, позволяет осуществлять протоколирование использования устройств на локальном компьютере.

Программа поддерживает функцию теневого копирования – возможность сохранять точную копию файлов, копируемых пользователем на внешние устройства хранения информации. Точные копии всех файлов сохраняются в специальном хранилище и позже могут быть проанализированы с помощью встроенной системы анализа. Теневое копирование может быть задано для отдельных пользователей и групп пользователей. При включении функции "вести только лог" при копировании файлов будет сохраняться только информация о них (без сохранения точной копии файла).

В программе отсутствует понятие "белого списка" устройств. Вместо него в общей политике можно указать съемный носитель и разрешить к нему доступ с любого компьютера. Заметим, что в ней нет возможности применить такие же настройки к отдельным CD/DVD-дискам.

Программа компании GFI существенно превосходит по своим возможностям и , и – в ней, например, гораздо больше контролируемых устройств, чем у предыдущих программ (медиаплееры iPod, Creative Zen, мобильные телефоны, цифровые камеры, средства архивирования на магнитных лентах и Zip-дисках, Web-камеры, сканеры).

В программе предусмотрены три типовые настройки прав доступа – для серверов, рабочих станций и переносных компьютеров. В дополнение к блокированию устройств , в программе есть возможность блокирования доступа к файлам в зависимости от их типа. Например, можно открыть доступ на чтение к файлам документов, но запретить доступ к исполняемым файлам. Также имеется возможность блокирования доступа к устройствам не только по их типу, но и по физическому порту, к которому подключаются внешние устройства. Еще одна настройка прав доступа ведется по уникальным идентификаторам устройств.

Администратор программы может вести два типа списков устройств – тех, доступ к которым разрешен по умолчанию ("белый список"), и тех, доступ к которым запрещен ("черный список"). ИТ-специалист может давать временные разрешения на доступ к устройствам или группам устройств на отдельно взятом компьютере (реализуется за счет генерации специального кода, который может передаваться пользователю даже в том случае, если его компьютер отключен от сети и агент программы не имеет возможности подключиться к серверу).

В программе реализована поддержка новой функции шифрования, применяемой в системе Windows 7, которая называется BitLocker To Go. Эта функция используется для защиты и шифрования данных на съемных устройства. GFI EndPointSecurity может распознавать такие устройства и обеспечивать доступ к сохраненным на них файлам в зависимости от их типов.

Предоставляет администратору мощную систему отчетов. Подсистема статистики (GFI EndPointSecurity ReportPack) показывает (в текстовом и графическом виде) ежедневную сводку использования устройств как для выбранных компьютеров, так и для всех компьютеров в целом. Также можно получить статистические данные по активности пользователей в разрезе дня, недели, месяца с разбивкой по использованным приложениям, устройствам, путям доступа к файлам.

Одна из наиболее распространенных сегодня в России программ защиты информации от инсайдеров. издается в России под маркой «1С:Дистрибьюция»

Программа обеспечивает контроль не только устройств, работающих под управлением Windows Mobile, но и устройств, работающих под операционными системами iPhone OS и Palm OS. При этом обеспечивается и теневое копирование всех переписываемых файлов и данных вне зависимости от того, по какому порту эти устройства подключаются к контролируемой сети. Теневое копирование можно настроить не только по устройствам, но и по типам файлов, при этом тип будет определяться не на основе расширений, а на основе их содержания.

Предусмотрена возможность установки доступа "только чтение" для сменных носителей, включая ленточные накопители. Как дополнительная опция – защита носителей от случайного или преднамеренного форматирования. Так же можно вести протокол всех действий пользователей как с устройствами, так и с файлами (не только копирование или чтение, но и удаление, переименование и так далее).

Для уменьшения нагрузки на сеть при передаче данных, получаемых от агентов, и файлов теневого копирования, может использоваться потоковое сжатие. Данные теневого копирования в больших сетях могут сохраняться на нескольких серверах. Программа автоматически выбирает оптимальный сервер, учитывая пропускную способность сети и загрузку серверов.

Во многих организациях для защиты данных используются диски, защищаемые специальными программами шифрования - ViPNet SafeDisk, PGP Whole Disk Encryption, DriveCrypt и TrueCrypt. Для таких дисков программа может устанавливать специальные "политики шифрования", что позволяет разрешить запись только зашифрованных данных на съемные устройства. Поддерживается работа и с флеш-дисками Lexar JumpDrive SAFE S3000 и Lexar SAFE PSD, поддерживающих аппаратное шифрование данных. В ближайшей версии будет поддержана и работа со встроенным в Windows 7 средством шифрования данных на съемных носителях BitLocker To Go.

Теневое копирование предназначено не только для сохранения копий файлов, но и для проведения анализа перемещенной информации. может осуществлять полнотекстовый поиск по содержимому файлов, автоматически распознавая и индексируя документы в различных форматах.

Уже объявлено о выходе новой версии программы, в которой кроме полноценного поиска будет реализована и контентная фильтрация файлов, копируемых на съемные устройства хранения любых типов, а также контроль содержимого объектов данных, передаваемых с компьютера через каналы сетевых коммуникаций, включая приложения электронной почты, интерактивные web-сервисы, социальные сети, форумы и конференции, наиболее популярные службы мгновенных сообщений (Instant Messengers), файловые обмены по протоколу FTP, а также Telnet-сессии

Уникальной в новой версии является технология фильтрации текстовых данных в канале сетевой и локальной печати документов для заданий в форматах PCL и PostScript, что позволяет блокировать или разрешать печать документов в зависимости от их информационного содержания.

Выводы

Две первые из рассмотренных программ могут использоваться для защиты информации от хищений, но возможности их ограничены. Они в различной степени "закрывают" стандартные внешние устройства, но возможности их ограничены – и в части настроек, и в части проведения анализа работы пользователей. Эти программы можно рекомендовать "для пробы", для уяснения самого процесса защиты. Для крупных организаций, где используется разнообразное периферийное оборудование и требуется анализ деятельности пользователей, названные выше программы будут явно недостаточными.

Для них лучше обратить внимание на программы - и . Это профессиональные решения, которые могут применяться в компаниях как с малым, так и с большим количеством компьютеров. Обе программы обеспечивают контроль различных периферийных устройств и портов, имеют мощные системы анализа и формирования отчетов. Но и между ними есть существенные различия, поэтому программу компании GFI в этом случае можно принять за базовую. может контролировать не только устройства и работу с данными, но и использование программного обеспечения. Эта возможность "подтягивает" ее из ниши "Device Control" в сегмент "Content-Aware Endpoint DLP". Новые, заявленные возможности позволяют ей резко оторваться от своих конкурентов за счет появления возможности анализа контента на момент выполнения пользователем различных действий с данными, включая потоковые, а также за счет контроля ряда параметров контекста сетевых коммуникаций, включая адреса электронной почты, IP адреса, идентификаторы пользователей и ресурсов сетевых приложений и т.д. можно у партнеров "1Софт".

Михаил Абрамзон

Все права защищены. По вопросам использования статьи обращайтесь к администраторам сайта

С повсеместным распространением всевозможных съемных накопителей проблема инсайдерства, и до того бывшая достаточно актуальной, приобрела поистине глобальный масштаб. И в этом нет абсолютно ничего удивительного. Сегодня любой сотрудник, имеющий доступ к конфиденциальной информации, может без проблем и, самое главное, незаметно скопировать ее к себе и использовать в будущем в различных целях. И хорошо еще, если за этим стоит желание просто поработать с договорами дома. Хотя, такое действие, вне зависимости от намерений нарушителя, все равно резко увеличивает риск компрометации данных (домашние компьютеры обычно слабее защищены, за них могут садиться разные люди, да и накопитель может быть утерян). Но ведь сотрудник может копировать информацию с целью ее передачи конкурентам или же использования в своих личных целях. Самым простым и явным примером этого является копирование базы клиентов (или договоров с ними) перед увольнением с целью их переманивания в другую компанию.

Главная проблема заключается в том, что стандартными, то есть встроенными в операционные системы средствами, защититься от такого способа воровства информации невозможно. Взять, хотя бы, USB-флешки. Они миниатюрны, дешевы и весьма емки. С их помощью сотрудники могут незаметно "выносить" из корпоративной информационной системы гигабайты информации. Однако просто отключить USB-порты на рабочих станциях нельзя - сегодня они необходимы для подключения многих устройств: принтеров, клавиатур, мышек, ключей для работы ПО и пр. Кроме того, нельзя забывать и про другие варианты воровства информации, например, про использование CD/DVD-дисков, мобильных телефонов и пр. Даже обычный принтер может стать угрозой. Ведь у сотрудника есть возможность распечатать конфиденциальную информацию и унести распечатки домой. Однако и их отключить не получится, потому что обычно все эти устройства необходимы для выполнения работниками своих служебных обязанностей.

Единственным способом обезопасить компанию от воровства конфиденциальной информации через различные съемные накопители является внедрение системы ограничения и контроля над их использованием. Реализуется она с помощью специального программного обеспечения. Почему-то во многих компаниях уверены, что такие продукты весьма сложны, а для их внедрения и обслуживания нужна какая-то специальная квалификация. Однако это совершенно не так. Система разграничения прав доступа к внешним и внутренним устройствам компьютера настолько проста, что справиться с ней может не только квалифицированный администратор, но даже и просто опытный пользователь ПК. И в подтверждение этих слов сегодня мы рассмотрим пример внедрения в корпоративную ИС продукта Zlock от компании SecurIT. Стоит отметить, что он не может защитить от утечки конфиденциальной информации через Интернет (например, по электронной почте через "аську" и пр.), для этого нужны другие продукты с совершенно иным принципом действия (например, Zgate от того же разработчика). А вот с задачей контроля всевозможных съемных накопителей и принтеров Zlock справляется успешно.

Структура Zlock

Перед тем, как начинать разговор о процедуре установки рассматриваемой системы, необходимо разобраться с ее структурой. Zlock состоит из пяти частей.

· Консоль управления . Программа, которая позволяет администратору осуществлять полное управление системой, включая ее установку на рабочие станции, изменение политик доступа, работу с серверами журналов и конфигураций и пр.

· Клиентский модуль . Утилита, инсталлирующаяся на рабочие станции. Именно она и осуществляет контроль и блокировку доступа в соответствии с заданными политиками. Кроме того, клиентский модуль взаимодействует с сервером журналов, проверяет целостность Zlock и пр.

· Сервер журналов . Система получения, хранения и обработки информации о событиях, которые передают клиентские модули. Обеспечивает удобный доступ администратора ко всем данным.

· Сервер конфигураций . Система централизованного управления конфигурациями Zlock.

· Модуль настройки Zlock через групповые политики . Модуль для установки и обновления системы через групповые политики.

В первую очередь необходимо разобраться, куда какие модули инсталлируются. Понятно, что консоль управления должна быть установлена на компьютер администратора или сотрудника, ответственного за информационную безопасность компании. Этот процесс ничем не отличается от инсталлирования любого другого ПО, а поэтому подробно останавливаться на нем мы не будем.

Сервер журналов и сервер конфигураций, в принципе, не обязательны для работы системы. Zlock может успешно справляться с возложенными на нее задачами и без них. Однако сервер журналов очень удобен для просмотра событий сразу же по всем рабочим станциям. Ну а сервер конфигураций незаменим в крупных корпоративных сетях. С его помощью можно легко управлять настройками клиентских модулей на большом количестве рабочих станций. Они опять же устанавливаются, как обычное программное обеспечение. Эта процедура выполняется локально с дистрибутива, входящего в комплект поставки Zlock.

Заключительный этап установки рассматриваемой системы - инсталляция клиентских модулей на все компьютеры, которые нуждаются в мониторинге. Сделать это можно двумя способами (вариант с ручной установкой мы по понятным причинам не рассматриваем). Первый из них предполагает использование консоли управления. После ее запуска в левой панели главного окна расположено несколько групп. Нужно найти среди них и открыть дерево "Компьютеры и приложения", после чего раскрыть ветку "Без приложений". В ней будет приведен полный список компьютеров, входящих в локальную сеть, на которые не установлена система Zlock.

Для запуска процедуры инсталляции клиентских частей администратору необходимо выбрать компьютер или компьютеры (в том числе можно указать целый домен) назначения и нажать на кнопку "Установить или обновить Zlock…", размещенную на панели инструментов. В открывшемся окне следует указать папку с дистрибутивом программы (оптимальным вариантом будет сетевая папка, к которой есть доступ у всех пользователей), а также выбрать вариант установки. Всего их три: с ручной или принудительной перезагрузкой компьютеров, а также без перезагрузки. Стоит отметить, что последний, наиболее удобный вариант нельзя применять для обновления установленных ранее клиентских частей. В заключение останется только выбрать ПК, на которые будет осуществляться установка (возможно, вы не хотите устанавливать Zlock на все компьютеры сети), а также указать пользователя, обладающего правами локального администратора. Причем программа в случае нехватки полномочий может запросить ввод данных другого пользователя.

Другой вариант развертывания системы защиты на корпоративные рабочие станции - использование групповых политик. Для этого в комплект поставки Zlock входит специальный инсталляционный пакет. Сама процедура установки знакома практически всем системным администраторам. В первую очередь нужно создать сетевую папку, скопировать в нее файлы Zlock30. msi и Zlockmsi. ini и предоставить к ней доступ всем пользователям домена. Если у вас уже есть конфигурационный файл, то его можно поместить в эту же директорию. В этом случае он будет автоматически применен ко всем установленным клиентским модулям. Если такого файла нет, система применит политику по умолчанию, которую необходимо будет настроить в будущем.

После этого в свойствах корпоративного домена (доступ к ним осуществляется через консоль Active Directory) нужно перейти на вкладку "Групповая политика" и создать новую политику. В окне этой политики необходимо раскрыть дерево "Конфигурация компьютера", выбрать пункт "Установка программ" и создать новый пакет, в свойствах которого указать сетевой путь к файлу Zlock30. msi. В результате инсталляция системы Zlock осуществляется стандартными средствами ОС.

Настройка политик доступа

Самой, пожалуй, важной операцией в процессе внедрения системы защиты Zlock является настройка политик доступа. Именно они определяют возможность всех пользователей работать с теми или иными устройствами. Каждая политика состоит из трех частей. Первая представляет собой список устройств или их групп, для каждого из которых прописаны права доступа к ним разных пользователей. Вторая часть политики - настройки теневого копирования файлов, копируемых на различные накопители. Ну а третья часть определяет настройки теневого копирования распечатываемых на принтерах документах. Кроме того, у каждой политики есть целый ряд дополнительных свойств, которые мы рассмотрим ниже.

Принцип работы политик следующий. На каждой рабочей станции находится одна или несколько политик, назначенных администратором. При наступлении любого события, контролируемого системой защиты (подключение устройства, попытка копирования файла на съемный накопитель, распечатка документа и пр.), клиентский модуль проверяет его на соответствие всем политикам по очереди (очередность устанавливается системой приоритетов) и применяет первую из тех, которой оно соответствует. То есть в Zlock нет привычной всем системы исключений. Если вам, к примеру, нужно запретить все USB-флешки, кроме одной определенной, нужно использовать две политики. Первая с низким приоритетом запрещает использование съемных накопителей. А вторая, с более высоким, разрешает применение конкретного экземпляра. Кроме созданных администратором, существует еще политика по умолчанию. Она определяет права доступа к тем устройствам, которые не описаны в других политиках.

Ну а теперь давайте разберем процедуру создания политики. Для ее запуска нужно выбрать в дереве консоли управления нужную рабочую станцию и установить к ней подключение. После этого необходимо выбрать в меню "Политика" пункт "Добавить". Открывшееся при этом окно состоит из пяти вкладок. Первая из них называется "Доступ". На ней задается наименование создаваемой политики, ее приоритет и права доступа к устройствам. Здесь доступны четыре варианта: полный доступ для всех пользователей, доступ к устройствам только на чтение для всех пользователей, запрет доступа к устройствам для всех пользователей и индивидуальная настройка прав доступа к устройствам для пользователей и групп. Назначения первых трех понятны из их названий. А вот последний вариант стоит отметить отдельно. С его помощью можно задать разные права для отдельных пользователей, что весьма удобно, поскольку часто за одним компьютером могут работать различные сотрудники. Для ввода прав доступа необходимо нажать на кнопку "Редактировать" и добавить в открывшемся окне необходимые учетные записи (локального компьютера или домена), определив для каждой из них полномочия.

После ввода основных параметров необходимо задать перечень устройств и групп, на которые будет распространяться действие политики. Для этого используется вкладка "Устройства". Для ввода оборудования в Zlock предусмотрено четыре способа.

· Типовые устройства. Данный вариант предполагает выбор всех устройств определенного типа, например, все съемные накопители, CD/DVD-приводы, жесткие диски и пр.

· USB-устройство с заданными характеристиками. Позволяет задавать USB-устройства по типу, производителю, названию продукта, серийному номеру устройства и пр.

· Принтеры. Используется для ввода определенных локальных или сетевых принтеров.

С помощью этих способов можно создать весьма точный и гибкий список устройств. Примечательно, что выбирать можно не только ту аппаратуру, которая подключена к ПК в данный момент, но и ту, которая когда-то на нем использовалась (весьма актуально для съемных накопителей). Кроме того, администратор может создать так называемый каталог устройств. Это файл, в котором перечислены все устройства, подключенные к компьютерам корпоративной сети. Он может создаваться как вручную, так и автоматически путем сканирования всех рабочих станций.

В принципе, после этого мы уже имеем вполне работоспособную политику. Однако в Zlock предусмотрен ряд дополнительных настроек, расширяющих функциональные возможности системы защиты. Так, например, если создается политика, которая должна действовать не постоянно, то необходимо задать расписание ее работы. Делается это на одноименной вкладке. На ней можно определить интервалы, во время которых действует политика. Администратор может ввести срок действия политики, время, дни недели или числа месяца, в которые она будет активна.

Если компьютер, для которого создается политика, может отключаться от корпоративной сети и/или подключаться к ней через Интернет, то можно определить для него особые параметры. Для этого необходимо перейти на вкладку "Правила применения". На ней перечислены три пункта возможного состояния ПК относительно корпоративного домена: домен доступен локально, домен доступен через VPN, домен недоступен. Для того, чтобы отключить действие политики для любого из них достаточно просто деактивировать соответствующий чекбокс. Например, если вы хотите, чтобы с компьютера, отключенного от корпоративной сети, невозможно было что-то распечатать, достаточно создать политику, запрещающую использование принтеров и в правилах применения активировать пункты "Домен недоступен" и "Домен доступен через VPN".

После создания одной или нескольких политик на одном из компьютеров, можно быстро распространить их и на другие ПК. Для этого в консоли управления требуется установить соединение со всеми нужными станциями и выбрать в меню "Сервис" пункт "Распространить конфигурацию". В открывшемся окне отметьте "галочками" нужные политики и компьютеры, активируйте чекбокс "Фоновое распространение политики" и выберите действие, которое должна выполнить программа при обнаружении политик с совпадающими именами (спрашивать, перезаписывать или не перезаписывать). После этого нажмите на кнопку "ОК" и дождитесь завершения процесса.

В будущем любую политику можно изменить. Для этого достаточно подключиться к компьютеру, на котором она была изначально создана, найти ее в "дереве" и дважды кликнуть по ней мышкой. При этом будет открыто уже знакомое по процедуре создания политики окно, в котором можно изменить те или иные параметры. Обратите внимание, что если политика, которую вы отредактировали, была в свое время распространена на другие компьютеры, то перед ее изменением предварительно нужно установить соединение со всеми этими ПК. В этом случае при сохранении изменений программа Zlock сама предложить синхронизировать устаревшие политики с новой. Точно так же выполняется и удаление политик.

Настройка журналирования и теневого копирования

В системе Zlock предусмотрена система журналирования. Благодаря ней администратор или другое ответственное за информационную безопасность лицо может просматривать и анализировать все отслеживаемые события. Для ее включения необходимо выбрать в меню "Сервис" пункт "Настройки" и перейти в открывшемся окне на вкладку "Журналирование". На ней перечислены все возможные события (запрет записи на устройство, изменение доступа к сети, изменение конфигурации, применение политик доступа и пр.), а также их состояние в плане ведения логов.

Для включения журналирования по одному или нескольким событиям необходимо нажать на "плюсик" и выбрать вариант ведения лога: запись в файл (системный Event Log или произвольный файл формата TXT или XML), в базу данных на SQL-сервере или сервере журналов, отправка письма по электронной почте.

После этого в открывшемся окне нужно настроить параметры лога (они зависят от выбранного варианта: имя файла, параметры доступа к базе данных и пр.), отметить нужные события и нажать на кнопку "ОК".

Отдельно настраивается журналирование файловых операций. Под ними подразумеваются такие действия, как создание, изменение и редактирование файлов, создание и удаление каталогов и пр. Понятно, что подобные логи имеет смысл вести только при использовании съемных накопителей. А поэтому данный вид журналирования привязывается к политикам доступа. Для его настройки необходимо в консоли управления выбрать в меню "Сервис" пункт "Файловые операции". В открывшемся окне в первую очередь нужно отметить политики, для которых будет осуществляться журналирование. Имеет смысл выбрать те из них, которые контролируют использование съемных накопителей: USB-устройств, CD/DVD-приводов и пр. После этого нужно ввести действия, которые будет выполнять система при обнаружении файловых операций. Для добавления каждого из них необходимо нажать на "плюсик" и выбрать нужный вариант. Три действия относятся к ведению логов - это запись информации о событии в файл, в базу данных или отправка сообщения по электронной почте. Последний же вариант заключается в запуске указанной программы или скрипта.

Далее можно переходить к настройке теневого копирования. Это весьма важная функция системы Zlock, которой не стоит пренебрегать. Она обеспечивает незаметное для пользователя дублирование копируемых или распечатываемых файлов в специальное хранилище. Теневое копирование необходимо тогда, когда использование принтеров или съемных накопителей сотрудникам нужно для выполнения своих профессиональных обязанностей. В таких случаях предотвратить утечку информации техническими средствами практически невозможно. Но теневое копирование позволит быстро среагировать на нее и пресечь будущие инциденты.

Для установки параметров теневого копирования необходимо в меню "Сервис" выбрать одноименный пункт. В первую очередь можно настроить локальное хранилище. Для этого необходимо указать папку, в которой будут сохраняться файлы, ввести доступный объем (в мегабайтах или процентах от свободного места на жестком диске), а также выбрать действие при переполнении (перезаписывать файлы в хранилище, запретить или разрешить копирование и печать).

При необходимости можно настроить теневое копирование в сетевое хранилище. Для этого нужно перейти на вкладку "Копирование на сервер" и активировать чекбокс "Передавать информацию о теневом копировании и файлы на сервер". Если передача должна осуществляться немедленно, то стоит выбрать пункт "Передавать файлы как можно раньше". Возможен и другой вариант - система будет копировать файлы с заданной периодичностью. После этого нужно выбрать сетевую папку, в которую и будут записываться файлы. Обратите внимание, что имеет смысл выбрать такой каталог, доступ к которому есть только у администратора. В противном случае сотрудник сможет зайти в него и удалить или хотя бы просмотреть сохраненные файлы. При выборе такой папки необходимо ввести логин и пароль пользователя, у которого есть полномочия на запись в нее информации.

Ну и в завершение настройки остается перейти на вкладку "Политики" и указать те политики, при действии которых теневое копирование будет работать.

Система временных разрешений

В принципе, процесс внедрения Zlock мы с вами, уважаемые читатели, уже разобрали. После его завершения система защиты от инсайдеров будет работать, помогая компании избежать утечки коммерческой и персональной информации. Однако в Zlock есть еще одна весьма интересная возможность, которая позволяет заметно облегчить жизнь администратору. Речь идет о системе выдачи временных разрешений на использование тех или иных устройств.

Почему хочется заострить внимание именно на этом моменте? Все очень просто. Практика показывает, что достаточно часто возникают ситуации, когда кому-то из сотрудников нужно использование обычно запрещенного для них устройства. Причем такая необходимость может возникнуть срочно. В результате возникает паника, срочно ищется администратор, который должен изменить политику доступа и, самое главное, не забыть потом вернуть ее обратно. Конечно же, это весьма неудобно. Гораздо лучше использовать систему выдачи временных разрешений.

Для ее применения сначала необходимо сгенерировать сертификат администратора. Для этого нужно в меню "Сервис" выбрать пункт "Сертификат…", а в открывшемся окне нажать на кнопку "Изменить сертификат". После этого в мастере необходимо выбрать переключатель "Создать новый сертификат" и ввести его имя. Далее остается только подключиться к удаленным компьютерам, выбрать в меню "Сервис" пункт "Настройки", перейти в открывшемся окне на вкладку "Общие" и нажать на кнопку "Установить".

В Zlock временные разрешения можно использовать двумя способами - с помощью электронной почты и по телефону. В первом случае создание запроса выполняется следующим образом. Пользователь должен кликнуть правой кнопкой мыши на значке Zlock в системном трее и выбрать в выпадающем меню пункт "Создать запрос". В открывшемся окне ему необходимо выбрать нужное устройство и права доступа (только для чтения или полный доступ), ввести адрес администратора и, при необходимости, краткий комментарий. При этом в почтовом клиенте, установленном в системе по умолчанию, будет сгенерировано письмо с прикрепленным к нему файлом-запросом. Получив его, администратор должен дважды кликнуть по нему мышкой. При этом будет открыто окно с информацией о запросе. Если администратор согласен его обработать, то ему необходимо нажать на кнопку "Далее". При этом будет открыто окно создания новой политики, в котором уже введено требуемое устройство. Администратору остается только установить расписание работы этой политики. Она может быть как постоянной, так и одноразовой. Во втором случае политика будет действовать только до завершения пользователем сессии Windows или до извлечения устройства (зависит от выбора администратора). Эта политика может быть передана на компьютер сотрудника обычным способом или же с помощью специального файла по электронной почте (он будет защищен с помощью сертификата администратора). При его получении пользователю необходимо просто запустить его, после чего он получит доступ к нужному устройству.

Система выдачи разрешений по телефону работает схожим образом. Сначала пользователь должен создать запрос. Эта процедура практически идентична рассмотренной нами выше. Только на последнем этапе формируется не электронное письмо, а специальный код, состоящий из пяти блоков цифр и букв. Сотрудник должен позвонить администратору и продиктовать ему этот набор символов. От администратора требуется ввести этот код в специальное окно (оно вызывается с помощью пункта "Обработать запрос" меню "Политика"). При этом на экране появится подробная информация о запросе. Далее администратор может создать политику уже знакомым нам образом. Единственное отличие - на последнем этапе система сформирует еще один код. Его администратор дожжен продиктовать сотруднику, который, введя его в специальное поле, может активировать доступ к устройству.

Подводим итоги

Итак, как мы видим, процедура внедрения в эксплуатацию системы защиты от инсайдеров, в принципе, не сложна. Для ее выполнения не нужно обладать какими-то особыми умениями. Справиться с ней может любой системный администратор, обладающий базовыми знаниями сетевых технологий. Впрочем, стоит отметить, что эффективность работы защиты целиком и полностью зависит от того, насколько грамотно и полно составлены политики доступа. Именно к этому моменту стоит подходить с максимальной серьезностью и выполнять эту работу должен ответственный сотрудник.

Zlock: контролируйте доступ к USB-устройствам

Тестируем Zlock

Главными предполагаемыми преимуществами системы, наряду с основными функциональными характеристиками, должны быть простота внедрения и интуитивная понятность действий по ее настройке и конфигурированию.

Рисунок 1. Политика доступа по умолчанию

После необходимо продумать политики доступа к самой службе Zlock, которая также распространится при установке на клиентские места. Отредактируйте политику доступа к настройкам клиентской части программы, разрешив или запретив пользователям видеть значок и получать предупреждения об изменении политики доступа. С одной стороны - данные предупреждения являются удобными, так как, отправив администратору заявку на получение доступа, пользователь будет оповещен, если измененная политика будет применена к его рабочей станции. С другой стороны - часто системные администраторы предпочитают не предоставлять пользователям лишние визуальные подтверждения работающих на рабочей станции защитных служб.

Затем созданная политика (в данном случае она пока остается локальной для консольной рабочей станции) сохраняется в виде файла с именем default. zcfg в папку с дистрибутивом клиентской части.

Все. На этом глобальная подготовка системы к массовой установке закончена. В продукте импонирует простота создания политик, связанная с применением стандартного принципа создания прав пользователей типа ACL.

Для установки на все компьютеры пользователям было отправлено pop-up-сообщение с просьбой включить все рабочие станции сети, находящиеся рядом, но не используемые в данный момент. Выбрав из списка компьютеров для подключения все рабочие станции сети (вернее, выбрав все и затем исключив серверы), я запустил процесс подключения для дальнейшей установки клиентской части. Подключение к такому количеству компьютеров (150), конечно, заняло относительно продолжительное время, так как осуществляется последовательно, а если компьютер выключен - то происходит ожидание тайм-аута по подключению. Однако процедуру придется выполнить только при первоначальной установке, дальше политики будут контролироваться на основе персональных потребностей пользователей. При попытке "разом" установить клиентскую часть на все 150 компьютеров локальной сети я столкнулся с незначительными проблемами на нескольких рабочих станциях, однако на большинство компьютеров система установилась автоматически. Проблема в установке, собственно была одна - несовместимость Zlock с устаревшими версиями драйвера защиты CD-дисков - StarForce. Для корректного взаимодействия необходимо обновить драйвер StarForce, скачав его с сайта производителя. Это было также сделано удаленно, при помощи службы удаленной установки. Объяснение причины этой несовместимости, на мой взгляд, имеет право на жизнь - ведь Zlock взаимодействует с подсистемой ввода-вывода на более низком уровне, нежели прикладные функции ОС, - так же, как защита от копирования CD.

После выбора рабочих станций вам предложат указать, откуда необходимо запускать дистрибутив установщика. Именно эта функция и дает возможность таким образом устанавливать и другие программы, не сходя с рабочего места. Будьте внимательны при выборе варианта установки - "С перезагрузкой" или "Требуется перезагрузка". В случае если вы выберете "С перезагрузкой" - после завершения установки клиентские рабочие станции перезагрузятся автоматически, не спрашивая подтверждения пользователя.

На этом первоначальная установка закончена, и после перезагрузки клиентская часть Zlock начнет исполнять предписанную политику безопасности. При этом в трее появляется значок службы Zlock, предоставляющий пользователям возможность создавать запросы на предоставление доступа, а также самостоятельно редактировать политики, если, конечно, это было им разрешено созданной нами политикой по умолчанию.

Стремясь к полной конфиденциальности…

После этого, собственно говоря, и начинается тонкая настройка системы Zlock. Если в вашей компании сотрудникам часто необходимо что-то сохранять на съемных носителях, а политику безопасности хотелось бы поддерживать на самом строгом уровне, то скоординируйте свой рабочий график так, чтобы иметь возможность в следующую за установкой неделю как можно чаще присутствовать на рабочем месте. Для поддержания максимальной строгости политики доступа рекомендуется создавать правила для конкретных съемных устройств, так как Zlock позволяет предоставлять доступ к устройствам даже на основе его полных характеристик, таких, как марка, модель, серийный номер и т.п. Сложнее обстоит дело в IT-фирмах, так как сотрудникам постоянно приходится записывать всевозможную информацию на диски CD/DVD-R/RW. В данном случае можно порекомендовать использовать выделенные рабочие станции с записывающими приводами, на которых системными политиками безопасности будут созданы правила, не позволяющие получить с этих компьютеров доступ в сеть. Однако такие тонкости выходят за рамки статьи, посвященной Zlock.

Как это работает на практике?

Теперь посмотрим, как это все выглядит в работе. Напоминаю, что созданная мной политика доступа позволяет пользователям производить чтение со всех съемных устройств и запрещает запись на них. Сотрудник отдела обслуживания приходит в офис для того, чтобы сдать отчеты и записать задания на диск. При подключении съемного устройства система ограничивает доступ и выдает соответствующее предупреждение (см. рис.2).

Рисунок 2. Предупреждение об ограничении доступа

Сотрудник считывает с него принесенную информацию, после чего безуспешно пытается записать полученные от руководителя задания. При необходимости получить доступ он либо связывается с администратором по телефону, либо формирует автоматический запрос при помощи Zlock Tray Applet с указанием устройства, к которому он хотел бы получить доступ, называет свою учетную запись и мотивирует необходимость такого доступа.

Администратор, получив такой запрос, принимает решение о предоставлении/не предоставлении такого доступа и при положительном решении изменяет политику для данной рабочей станции. При этом созданный запрос содержит всю информацию об устройстве, включая производителя, модель, серийный номер и т.д., а система Zlock позволяет создавать любые политики на основании этих данных. Таким образом мы получаем возможность предоставить право записи конкретному пользователю на указанное устройство, при необходимости ведя журнал всех файловых операций (см. рис. 3).

Рисунок 3. Создание политики на основании запроса пользователя

Таким образом процесс создания дополнительных разрешающих политик облегчен для администратора до предела и сводится к принципу Check&Click, что, несомненно, радует.

Проблемы

Неудается открыть порты в файрволе для удаленного администрирования Zlock?

Для удаленного администрирования Zlock в межсетевом экране достаточно открыть один порт. По умолчанию это порт 1246, но он может быть изменен, если этот номер по каким-либо причинам не подходит. Этим, кстати, наш продукт выгодно отличается от некоторых аналогов, которые используют для администрирования службу удаленного вызова процедур (Remote Procedure Calls - RPC), которая по умолчанию требует открытия множества портов и довольно уязвима к внешним атакам. Как известно, большинство современных вирусов использовали как раз уязвимости в RPC для внедрения в компьютер и получения в нем администраторских привилегий.

2) Проблема

У нас возникла следующая ситуация. В одном отделе на одном компьютере работают два сотрудника. У каждого есть флешка. Стоит задача сделать так что бы флешка первого сотрудника читалась, а флешка второго нет. Главная проблема в том что у этих флешек одинаковые номера (VID_058F&PID_6387), Флешки фирмы Transcend 256Mb и 1Gb. Подскажите пожалуйста как поступить в данной ситуации? Большое спасибо.

Номера, о которых Вы говорите, - это идентификаторы продукта (Product ID) и производителя (Vendor ID). Для разграничения доступа устройств с одинаковыми идентификаторами продукта и производителя в политиках Zlock необходимо указать их серийный номер. Стоит заметить, что не все производители USB-накопителей присваивают своим продуктам уникальные серийные номера, обычно отсутствием серийных номеров грешат noname-производители.

II. Обзор SecurITZgate

В данном обзоре мы начинаем подробный рассказ о SecurIT Zgate, корпоративном решении, предназначенном для анализа интернет-трафика на уровне шлюза с целью обнаружения и блокирования попыток утечки конфиденциальных данных или иных несанкционированных действий сотрудников.

Введение

Согласно концепции комплексной защиты от внутренних угроз, продвигаемой компаний SecurIT, шлюзовой продукт SecurIT Zgate важной частью IPC-системы. Концепция IPC включает в себя DLP (Data Loss Prevention) и решения для защиты данных при хранении. Впервые совмещение различных на первый взгляд технологий было предложено аналитиком IDC Брайаном Бюрком в отчете Information Protection and Control Survey: Data Loss Prevention and Encryption Trends.

В системах IPC контролируется стандартный для DLP-систем список каналов: электронная почта, Web-ресурсы (Web-почта, социальные сети, блоги), ICQ, USB-устройства и принтеры. В IPC к этим возможностям добавляется шифрование данных на серверах, магнитных лентах и в конечных точках сети - на ПК, ноутбуках и мобильных накопителях. Кроме перечня контролируемых каналов и шифруемых носителей информации, IPC существенно различаются набором методов детектирования конфиденциальных данных.

Таким образом, система SecurIT Zgate позволяющая предотвращать утечки конфиденциальной информации по сетевым каналам, является важной, если не сказать ключевой, частью единой IPC системы. SecurIT Zgate анализирует все данные, передаваемые сотрудниками за пределы информационной сети организации. В SecurIT Zgate используются современные технологии автоматического детектирования, которые безошибочно определяют уровень конфиденциальности передаваемой информации с учетом особенностей бизнеса и требований различных отраслевых стандартов.

1. Системные требования

Минимальные системные требования для решения SecurIT Zgate представлены в таблице ниже.

2. Основные возможности SecurIT Zgate:

Фильтрация входящего, исходящего и внутреннего трафика.

Контентный анализ передаваемых сообщений и файлов с помощью любой комбинации методов автоматической категоризации.

Совместимость с любой почтовой системой (MTA), работающей по протоколу SMTP: Microsoft Exchange Server, IBM Lotus Domino, Kerio MailServer, Communigate Pro, Sendmail, Postfix и др.

Работа в пассивном режиме мониторинга со снятием копии передаваемых данных или в активном режиме блокирования инцидентов в режиме реально времени.

Гибкие политики проверки, блокировки и архивирования данных с возможностью настройки до 30 параметров.

Применение политик в зависимости от времени передачи, направления трафика и местоположения пользователей.

Удобные инструменты для управления словарями, описывающими различные категории документов.

Возможность ручной проверки подозрительных сообщений и файлов.

Модификация сообщений и возможность уведомления пользователей о результатах фильтрации.

Интеграция со сторонними приложениями для дополнительной обработки антивирусами и системами борьбы со спамом.

Возможность ведения полного архива передаваемых данных, включая файлы-вложения, в Microsoft SQL Server или Oracle Database.

Масштабируемость и модульная архитектура, позволяющая учесть самые жесткие требования к производительности.

Установка и управление через единую консоль для всех продуктов SECURIT.

Широкие возможности для разделения ролей администраторов.

Поддержка импорта статистической информации в различные конструкторы отчётов, например, Crystal Reports или FastReport.

3. Установка SecurIT Zgate

Важно! Если планируется использовать средства SecurIT Zgate по обработке почты внутри Microsoft Exchange 2007/2010, серверная часть SecurIT Zgate должна устанавливаться на тот же компьютер, где установлен Microsoft Exchange.

SecurIT Zgate для установки использует стандартный InstallShield. Примечательно то, что вся установка проста и сложностей не вызывает.

Рисунок 1: Начало установки SecurIT Zgate

Обратите внимание на рисунок 2, сервер журналов по умолчанию не устанавливается. Его можно развернуть на другом компьютере. Журнал событий можно хранить в XML-файле, использовать отдельный сервер журналов или использовать базу данных (MSSQL Server или Oracle Database).

Рисунок 2: Выбор модулей для установки SecurIT Zgate

Работа с SecurIT Zgate ведётся через консоль управления. Для связи с сервером SecurIT Zgate консоль управления использует протокол TCP/IP и порт 1246. Не забудьте открыть этот порт в фаерволле. В дальнейшем можно при необходимости изменить этот порт.

Если хотите использовать SecurIT Zgate в режимах сниффера, то необходимо установить драйвер WinPcap на компьютер с уже установленным сервером SecurIT Zgate. Драйвер WinPcap идёт в комплекте вместе с дистрибутивом SecurIT Zgate.

Консоль управления можно установить на том же компьютере, где уже установлен SecurIT Zgate, или на отдельный.

Итак, начинаем работу с Zgate SecurIT.

4. Начало работы и первоначальная настройка SecurIT Zgate

Рисунок 3: Общий вид консоли управления SecurIT Zgate

Для начала работы необходимо установить соединение с компьютером, на котором расположена серверная часть системы. Список компьютеров находится в левой части консоли управления в элементе дерева "Без приложений". В нашем примере мы устанавливали сервер SecurIT Zgate на компьютер VM-2003TEST, его мы и выберем.

После того, как мы выбрали нужный нам компьютер, и соединение с ним прошло успешно, он переносится из раздела "Без приложений" в узлы тех приложений, которые на нем установлены (в нашем случае это SecurIT Zgate) и открывается древовидный список настроек и возможностей (рисунок 4).

Рисунок 4: Соединение с компьютером прошло успешно - доступны новые возможности

Следует отметить, что список компьютеров в домене определяется либо через NetBIOS, либо загружается из Active Directory. Если у Вас большое количество компьютеров в сети, Вы можете воспользоваться опцией поиска.

Если же компьютер отсутствует в списке "Без приложений", соединение можно установить вручную. Для этого необходимо в консоли управления раскрыть меню "Соединение" и выбрать пункт "Создать соединение". В открывшемся окне вводите имя компьютера, IP-адрес, порт (по умолчанию 1246) и данные о пользователе (рисунок 5). По умолчанию права доступа для конфигурирования SecurIT Zgate настроены таким образом, что пользователи, входящие в группу локальных администраторов, имеют полный доступ ко всем функциям системы.

Рисунок 5: Создание соединения вручную

Итак, давайте поочереди рассмотрим настройки сервера SecurIT Zgate.

Общие . В этом разделе (рисунок 6) задаются настройки внутреннего почтового сервера, порт внутреннего почтового сервера, режим работы сервера, каталог для временного хранения обрабатываемых сообщений и указывается максимальный объём этого каталога.

Рисунок 6: Общие настройки сервера для почтового сервера в SecurIT Zgate

Как видно из рисунка, режимы работы "Фильтрация почты внутри Microsoft Exchange 2007/2010" и "Журналирование почты внутри Microsoft Exchange 2007/2010" недоступны, поскольку у нас нет в данный момент установленного и настроенного Microsoft Exchange. Режим зеркалирования (анализ копии передаваемого трафика) доступен, потому что драйвер WinPcap установлен.

Зеркалирование сообщений, передаваемых при помощи шифрованного трафика SMTP (созданного с помощью протокола TLS командой STARTTTLS) и с помощью расширения XEXCH50 протокола Exchange ESMTP не поддерживается.

Приём . В этом разделе ведётся настройка приема почты для работы в различных режимах работы сервера (рисунок 7).

Рисунок 7: Настройка приема почты для работы в режиме прокси (журналирования)

При настройке фильтрации или журналирования в режиме прокси, задаются сетевой интерфейс и номер порта (по умолчанию 25) для приема почты снаружи системой SecurIT Zgate; сетевой интерфейс и номер порта, который используется для приема почты от внутреннего почтового сервера; каталог для входящих сообщений и его максимальный объем. В каталоге для входящих сообщений хранятся письма, поступившие в SecurIT Zgate, до их обработки или пересылки.

В этой же вкладке настраивается защита от атак типа "Отказ в обслуживании". Как видно из рисунка 7, защита от атак в обслуживании состоит из ряда условий, при несоблюдении которых сообщение не принимается. Эти условия можно включать или отключать в зависимости от надобности или ненадобности той или иной проверки.

Если же сервер SecurIT Zgate работает в режиме анализа зеркалированного трафика (включается на вкладке настроек Общие ), то вкладка Приём имеет следующий вид (рисунок 8).

Рисунок 8: Настройка приема почты в режиме анализа зеркалированного трафика

В настойках этого режима работы задаётся сетевой интерфейс, на который осуществляется приём зеркалированного трафика, IP-адрес зеркалируемого почтового сервера, порты, которые зеркалируемый сервер использует для получения и отправки почты, а также каталог для хранения входящих сообщений и его объём.

Важно! Для работы SecurIT Zgate в режиме зеркалирования необходимо, чтобы сетевой коммутатор, к которому подключен компьютер с SecurIT Zgate, поддерживал функцию зеркалирования. Зеркальное копирование портов (Port Mirroring) позволяет копировать трафик на контрольный порт, чтобы можно было его анализировать, не вмешиваясь в поток.

Но, наличие коммутатора с возможностью Port Mirroring не является обязательным в том случае, если SecurIT Zgate установлен на прокси-сервере организации или если SecurIT Zgate установлен на том компьютере, трафик с которого отслеживается.

При выборе на вкладке Общие режимов работы сервера Фильтрация почты внутри Microsoft Exchange 2007/2010 либо Журналирование почты внутри Microsoft Exchange 2007/2010, вкладки Прием и Передача заменяются вкладкойMicrosoft Exchange .

На вкладке Microsoft Exchange настраиваются каталога входящих и исходящих сообщений и их максимальный объем (каталоги предназначены для организации очереди сообщений, отправляемых на обработку или на почтовый сервер адресата). Также на этой вкладке можно выбрать опцию "Контролировать внутреннюю почту". В этом режиме будут проверяться и внутренние письма между клиентами контролируемого почтового сервера. Данная возможность является очень важной, поскольку становится возможным контролировать и внутреннюю переписку сотрудников.

В нижней части вкладки отображается информация об ошибках или предупреждениях.

Передача . Настройки передачи почты не зависят от режима работы сервера и одинаковы как для фильтрации и журналирования в режиме прокси, так и для зеркалирования (рисунок 9).

Рисунок 9: Настройки параметров передачи почты в SecurIT Zgate

Здесь настраиваются следующие параметры: максимальное количество одновременных исходящих соединений; схемы попыток соединения; список почтовых доменов, которые обслуживает внутренний почтовый сервер; сервер доставки, на который передается почта, отправляемая наружу (если сервер доставки не задан и домен адресата не внутренний, то почту доставляет сам SecurIT Zgate, соединяясь напрямую с почтовым сервером адресата); смарт-хост, на который пересылаются письма для адресатов из обслуживаемых доменов, но отсутствующие в списках лицензирования; каталог для исходящих сообщений и его максимальный объем. Также, на смарт-хост пересылаются письма, для которых SecurIT Zgate не смог определить адрес почтового сервера через DNS, или почтовый сервер сообщил, что получатель не существует.

Схема соединения с почтовым сервером адресата состоит из серий. Серия состоит из определенного количества попыток соединений с сервером получателя сообщения и интервала в минутах между попытками. Если не удалось установить соединение согласно схеме, то письмо удаляется, и в журнал выводится соответствующее сообщение. При этом отправителю посылается письмо с сообщением об ошибке.

Вкладка Zgate Web предназначена для предотвращения утечек информации через Интернет, например, в случае, когда сотрудники умышленно или случайно отправляют конфиденциальные данные через свою веб-почту, публикует на форуме или блоге, или отправляет по ICQ.

Работа Zgate Web обеспечивается зеркалированием портов на коммутаторе или перехватом сетевого трафика на компьютере, на котором установлен SecurIT Zgate. Для использования Zgate Web на компьютер, на котором устанавливается сервер SecurIT Zgate, должен быть установлен драйвер WinPcap.

В текущей версии Zgate Web осуществляет перехват трафика, передаваемого с использованием следующих протоколов и ресурсов:

протокол службы мгновенных сообщений AOL ICQ;

протокол передачи файлов FTP;

протокол передачи данных HTTP;

почтовые сервисы: Mail.ru, Yandex.ru, Pochta.ru, Rambler.ru, Hotmail.com, Google.com, Yahoo.com;

службы отправки сообщений SMS/MMS: Megafon, Beeline, MTS, TELE2, SKYLINK, Web sms;

форумы, реализованные на базе ПО PhpBb, IpBoard, Vbulletin.

Как видим, возможности контроля трафика впечатляют.

Для каждого сообщения модуль перехвата Zgate Web генерирует письмо, содержащее информацию о сообщении и набор дополнительных параметров, связанных с используемой службой. Это письмо помещается во входящие сообщения и обрабатывается системой SecurIT Zgate так же, как обычное письмо, пришедшее по протоколу SMTP.

Настройки Zgate Web отображены на рисунке 10.

Рисунок 10: Настройки Zgate Web

На этой вкладке можно включить или отключить Zgate Web, а также указать сетевой интерфейс, с которого осуществляется копирование трафика, просмотреть и отредактировать список диапазонов адресов анализируемых пакетов (есть возможность добавлять свои диапазоны), выбрать каталог для хранения временных файлов и его объём, а также выбрать необходимые для работы модули анализа.

Для того чтобы добавить свой диапазон адресов анализируемых пакетов нужно нажать на кнопку "+", которая находится справа от списка анализируемых пакетов, откроется такое окно (рисунок 11).

Рисунок 11: Добавление диапазона адресов анализируемых пакетов вSecurIT Zgate

После указания нужных нам адресов и портов, а также выбора действия (анализировать или исключить из анализа), нажимаем кнопку ОК. Новый диапазон готов к работе.

Архив . Архив предназначен для централизованного хранения копий писем, их просмотра и пересылки. Кроме того, в архиве хранятся письма, помещенные в карантин. Архив в виде базы данных может быть организован средствами Oracle или Microsoft SQL Server (рисунок 12). Часть настроек, относящихся к параметрам настройки архива, находится на вкладке Дополнительно (пункт Настройки в меню Сервис).

Рисунок 12: Выбор базы данных и настройка параметров архива в SecurIT Zgate

Для того чтобы использовать архив, нам необходимо установить и настроить MSSQL Express или Oracle (указано в минимальных системных требованиях).

После того как мы указали необходимые настройки и пользователя для доступа к базе данных, можно проверить соединение с самой базой данных. Для этого предназначена кнопка "Проверить соединение" (рисунок 13). Также можно указать возможность сжатия данных. Выберете "золотую середину" между скоростью работы и объёмом данных.

Рисунок 13: Всё готово к работе с базой данных - соединение установлено

Лицензия . Предназначение вкладки ясно из самого названия. Здесь отображается количество лицензированных адресов электронной почты, срок действия лицензии, список лицензированных модулей SecurIT Zgate - Контроль электронной почты (Zgate Mail) и Контроль Web-трафика (Zgate Web). Лицензированные модули отмечены галочкой зеленого цвета (рисунок 14).

Рисунок 14: Просмотр и управление лицензиями в SecurIT Zgate

Статистика . С этой вкладкой тоже всё понятно. Здесь отображается статистика работы сервера SecurIT Zgate (рисунок 15).

Рисунок 15: Статистика работы сервера SecurIT Zgate

Дополнительно . На этой вкладке отображены дополнительные настройки системы (рисунок 16). Подробное описание каждого из параметров находится в документации к продукту.

Рисунок 16: Настройки дополнительных параметров работы SecurIT Zgate

Доступ . Система SecurIT Zgate предоставляет возможность разграничивать права доступа по управлению и работе с архивом сообщений между несколькими пользователями. На этой вкладке осуществляется настройка доступа к системе (рисунок 17).

Рисунок 17: Управление доступом к системе SecurIT Zgate

Как мы уже говорили, по умолчанию права доступа для конфигурирования SecurIT Zgate настроены таким образом, что пользователи, входящие в группу локальных администраторов, имеют полный доступ ко всем функциям.

Для добавления пользователя либо группы пользователей в список доступа нажмите кнопку "+" и выберите нужную учетную запись либо группу. Затем, в нижней части окна укажите права, которыми необходимо наделить указанную учетную запись. Значок "V" означает, что пользователь получает право на эту операцию, "Х" значит, что пользователю запрещается доступ к этой функции. Права пользователя и группы, в которую он входят, суммируются аналогично принятой системе контроля доступа в Windows.

В качестве примера мы выбрали пользователя Guest и дали ему право на просмотр параметров и статистики (рисунок 18).

Рисунок 18: Выбор пользователя и назначение ему соответствующих прав

Журналирование . Система SecurIT Zgate позволяет реализовывать дополнительную обработку выполняемых ей операций посредством механизма обработки событий. Одним из вариантов такой обработки является журналирование работы SecurIT Zgate в системный журнал Windows, в файл или на Microsoft SQL Server.

По умолчанию журналирование событий отключено (рисунок 19). Вы можете самостоятельно включить журналирование того или иного события и выбрать как именно будет осуществляться ведение журнала событий.

Рисунок 19: Список событий, за которыми будет вестись наблюдение вSecurIT Zgate

Включение журналирования для какого-либо события осуществляется очень просто. Для этого необходимо выбрать нужное нам событие и щёлкнуть кнопку "+" справа от списка событий, после чего выбрать нужный вариант журналирования. Давайте, в качестве примера, выберем вариант "журналирование" (рисунок 20).

Рисунок 20: Настройка параметров журналирования события в файл или в системный журнал

Видно, что в этом случае можно выбрать вариант журналирования в системный журнал, причём можно выбрать любой компьютер локальной сети для хранения этого журнала или же выбрать вариант журналирования в файл. Причём доступны три варианта для формата файла: текстовый ANSI, текстовый Unicode и XML. Отличие записи журнала в формат XML в отличие от записи в текстовый файл заключается в том, что файл журнала в формате XML можно анализировать средствами системы SecurIT Zgate. Для текстовых файлов такая возможность исключена.

Также можно выбрать место расположения файла журнала и права пользователя, от имени которого будет вестись журналирование.

Рисунок 21: Выбор событий для журналирования в SecurIT Zgate

После выбора необходимых событий остаётся только нажать кнопку "Готово". Результат виден на рисунке 22. Возле журналируемых событий появились соответствующие значки с указанием параметров журналирования и места, куда журнал будет записываться.

Рисунок 22: Видно три события, которые журналируются в XML-файл

Также можно вести журналирование на сервер журналов и на Microsoft SQL Server. Прижурналирование на SQL-сервер, запись информации о событии производится модулем обработки в базу данных, организованную средствами Microsoft SQL Server.

При выборе журналирования на Microsoft SQL Server необходимо будет выбрать сам сервер с MSSQL, указать параметры пользователя и проверить соединение с базой данных. Если всё будет верно, то при проверке соединения будет предложено создать новую базу данных, имя указано системой SecurIT Zgate (рисунок 23).

Рисунок 23: Выбор сервера базы данных и указание параметров соединения с ним

Рисунок 24: Подтверждение создания внутренней структуры базы данных для хранения журнала

Рисунок 25: Указываем события, которые будем журналировать

Рисунок 26: Видим события, которые будут журналироваться на указанный SQL сервер

Скрипты . Еще одним видом дополнительной обработки операций, выполняемых SecurIT Zgate, может быть выполнение сценариев (скриптов) и запуск исполняемых файлов.

При происхождении выбранного события будет запущено указанное приложение или выполнен казанный сценарий. Список событий аналогичен списку событий для журналирования.

Данная опция может быть использована, к примеру, для отправки СМС о событии или блокировки рабочей станции до прибытия офицера безопасности.

Рисунок 27: Выбор исполняемого файла

В этом же окне можно указать путь к файлу сценария, указать пользователя, от имени которого будет исполняться файл или сценарий. Следует учесть, что по умолчанию приложения запускаются из-под учетной записи SYSTEM.

Рисунок 28: Список событий, при происхождении которых будет запущено приложение

На этом мы заканчиваем этап предварительной настройки системы SecurIT и переходим к настройке подсистем фильтрации.

Настройка анализа содержимого и фильтрации

Теперь рассмотрим возможности настройки системы анализа содержимого.

Словари . Под словарями в Zgate понимаются группы слов, объединенные по какому-либо признаку (категории). Как правило, наличие в письме слов из конкретного словаря с большой долей вероятности позволяет отнести письмо к категории, характеризуемой этим словарем. Словари в системе Zgate используются при фильтрации в методах "Анализ по словарю" и "Обработка методом Байеса".

Рисунок 29: Окно управления словарями в SecurIT Zgate

Так как SecurIT Zgate использует одни и те же словари, как при анализе почтового сообщения, так и при его обработке методом Байеса, то при создании словарей, слову всегда приписывается два параметра: вес в категории и вес в антикатегории. По умолчанию оба параметра имеют значение 50.

Для добавления словаря нужно нажать в окне управления словарями кнопку "+", а для того, чтобы добавить слова в словарь, нужно выделить необходимый словарь и нажать кнопку с "карандашом" (рисунок 30, 31).

Рисунок 30: Добавление словаря вSecurIT Zgate

Рисунок 31: Добавление слова в словарь в SecurIT Zgate

При вводе слов можно использовать спецсимволы:

любое количество любых букв или цифр;

Один любой символ (буква или цифра);

^ - один символ-разделитель (пробел, табуляция, перевод строки);

Один символ-разделитель или знак пунктуации;

# - один символ-цифра;

@ - один символ-буква.

Корректными символами для словаря считаются символы (,), <, >, {, }, - , _, спецсимволы и спецсимволы в качестве простых символов (любой спецсимвол можно сделать обычным символом путем добавления обратного слеша). Например, тест* означает, что в словаре находится слово тест*. А тест* означает, что в словаре находятся все слова, начинающиеся на тест - тест, тесты, тестируем и т.д.

Кроме создания и заполнения словаря вручную, можно создать словарь, импортировав слова из заранее подготовленного файла, а также есть возможность автоматической генерации словаря.

При импорте слов из файла каждому импортированному слову будет приписан вес в категории и антикатегории по умолчанию. Некорректные для словаря символы по умолчанию при импорте заменяются разделителем (пробелом).

Автоматическая генерация словаря из файла возможна с использованием специально подготовленного текстового файла с соответствующим набором слов, а также реальных документов, которые относятся, или не относятся к той или иной категории.

Кроме лингвистических методов анализа можно использовать популярный для такого класса продуктов метод "цифровых отпечатков" - это метод поиска копий контролируемых документов или частей документов в почтовом сообщении. При этом искомый текст может быть видоизменен или в письме может присутствовать только какая-то его часть.

Метод отпечатков заключается в том, что для всех конфиденциальных документов создаются их "цифровые отпечатки". Полученные отпечатки хранятся в обновляемой (в автоматическом режиме) и пополняемой базе данных. В случае необходимости проверки любого документа для него вычисляется "цифровой отпечаток", затем производится поиск похожего отпечатка среди отпечатков конфиденциальных документов, хранящихся в базе данных. Если отпечаток проверяемого файла похож на отпечаток, хранящийся в базе, то выдается соответствующее предупреждение (оповещение).

Для того чтобы начать работы с базой отпечатков, необходимо зайти в меню "Сервис" и выполнить команду "Отпечатки".

Рисунок 32: Управление базой цифровых отпечатков в SecurIT Zgate

Чтобы добавить новую категорию документов для снятия отпечатков, необходимо нажать

кнопку "+". Для редактирования нажать кнопку "карандаш" и кнопку "Х" - для удаления категории.

Рисунок 33: Создание категориидокументов в SecurIT Zgate

Также при создании категории указывается время обновления базы отпечатков, задаются параметры пользователя, от имени которого будет осуществляться доступ к файлам и добавляются файлы, которые содержат общеупотребительные слова, исключаемые из проверки.

Для создания отпечатков можно использовать файлы следующих форматов:. txt,. doc,. docx,. xls,. xlsx,. ppt,. pptx,. pdf,.html,. rtf,. odt,. ods,. odp,. dbf,. wps,. xml* (формат. xml анализируется как обычный текстовый документ).

Созданную категорию можно подвергнуть тестовой проверке. Тестовая проверка файла методом отпечатков предназначена для определения правильности настроек цифровых отпечатков и корректности описания категорий. В ходе проверки определяется, является ли цифровой отпечаток проверяемого файла (документа) похожим на цифровой отпечаток документа, хранящегося в созданной ранее базе определенной категории. Поиск похожих документов выполняется с учетом того, что часть или все русские символы в проверяемом документе могли быть заменены на сходные по написанию английские символы, и наоборот.

Для того чтобы провести проверку, необходимо нажать кнопку "Проверить" снизу в окне управления базой отпечатков и выбрать проверяемый файл, указав процент вероятности сходства.

Столь развитая система категоризации позволяет создавать отдельные категории для различного содержимого сообщений. В свою очередь это даёт возможность грамотно категоризировать уведомления об инцидентах в журнале и позволит офицеру безопасности выставить приоритеты и оперативно отреагировать на события.

Рисунок 35: Задание параметров проверки трафика в SecurIT Zgate

Рисунок 36: Результат проверки

Защита от инсайдеров при помощи связки из Zgate и Zlock

На сегодняшний день существует два основных канала утечки конфиденциальной информации: устройства, подключенные к компьютеру (всевозможные съемные накопители, включая "флешки", CD/DVD-диски и пр., принтеры) и интернет (электронная почта, ICQ, социальные сети и т. ?д.). А поэтому, когда компания "созревает" на внедрение системы защиты от них, желательно подходить к решению данной комплексно. Проблема заключается в том, что для перекрытия разных каналов используются различные подходы. В одном случае наиболее эффективным способом защиты будет контроль над использованием съемных накопителей, а во втором - различные варианты контентной фильтрации, позволяющей заблокировать передачу конфиденциальных данных во внешнюю сеть. А поэтому компаниям для защиты от инсайдеров приходится использовать два продукта, которые в сумме образуют комплексную систему безопасности. Естественно, предпочтительней использовать инструменты одного разработчика. В этом случае облегчается процесс их внедрения, администрирования, а также обучения сотрудников. В качестве примера можно привести продукты компании SecurIT: Zlock и Zgate.

Zlock: защита от утечек через съемные накопители

Программа Zlock появилась на рынке уже достаточно давно. И мы уже описывали ее основные возможности. В принципе, повторяться смысла нет. Однако с момента публикации статьи вышла две новых версии Zlock, в которых появился ряд важных функций. Вот о них стоит рассказать, пусть даже и очень кратко.

В первую очередь стоит отметить возможность назначения компьютеру нескольких политик, которые самостоятельно применяются в зависимости от того, подключен ли компьютер к корпоративной сети напрямую, через VPN или же работает автономно. Это позволяет, в частности, автоматически блокировать USB-порты и CD/DVD-приводы при отключении ПК от локальной сети. В целом данная функция увеличивает безопасность информации, размещенной на ноутбуках, которые сотрудники могут выносить из офиса на выезды или для работы дома.

Вторая новая возможность - предоставление работникам компании временного доступа к заблокированным устройствам или даже группам устройств по телефону. Принцип ее работы заключается в обмене генерируемыми программой секретными кодами между пользователем и ответственным за информационную безопасность сотрудником. Примечательно, что разрешение на использование может выдаваться не только постоянное, но и временное (на определенное время или до завершения сеанса работы). Данный инструмент можно считать некоторым послаблением в системе защиты, однако он позволяет повысить оперативность реагирования ИТ-отдела на запросы бизнеса.

Следующим важным нововведением в новых версиях Zlock является контроль над использованием принтеров. После его настройки система защиты будет записывать в специальный журнал все обращения пользователей к печатающим устройствам. Но и это еще не все. В Zlock появилось теневое копирование всех распечатываемых документов. Они записываются в формате PDF и являются полной копией выводимых на печать страниц вне зависимости от того, какой файл был отправлен на принтер. Это позволяет предотвратить утечку конфиденциальной информации на бумажных листах, когда инсайдер распечатывает данные с целью их выноса из офиса. Также в системе защиты появилось теневое копирование информации, записываемой на CD/DVD-диски.

Важным нововведением стало появление серверного компонента Zlock Enterprise Management Server. Он обеспечивает централизованное хранение и распространение политик безопасности и других настроек программы и существенно облегчает администрирование Zlock в крупных и распределенных информационных системах. Также нельзя не упомянуть появление собственной системы аутентификации, которая, при необходимости, позволяет отказаться от использования доменных и локальных пользователей Windows.

Помимо этого, в последней версии Zlock появилось несколько не столь заметных, но тоже достаточно важных функций: контроль целостности клиентского модуля с возможностью блокировки входа пользователя при обнаружении вмешательств, расширенные возможности по внедрении системы защиты, поддержка СУБД Oracle и т. ?п.

Zgate: защита от утечек через интернет

Итак, Zgate. Как мы уже говорили, этот продукт представляет собой систему защиты от утечки конфиденциальной информации через интернет. Структурно Zgate состоит из трех частей. Основной является серверный компонент, который и осуществляет все операции по обработке данных. Он может инсталлироваться как на отдельный компьютер, так и на уже работающие в корпоративной информационной системе узлы - интернет-шлюз, контроллер домена, почтовый шлюз и т. ?п. Данный модуль в свою очередь состоит из трех компонентов: для контроля SMTP-трафика, контроля внутренней почты сервера MicrosoftExchange 2007/2010, а также Zgate Web (он отвечает за контроль HTTP-, FTP - и IM-трафика).

Вторая часть системы защиты - сервер журналирования. Он используется для сбора информации о событиях с одного или нескольких серверов Zgate, ее обработки и хранения. Этот модуль особенно полезен в крупных и территориально распределенных корпоративных системах, поскольку обеспечивает централизованный доступ ко всем данным. Третья часть - консоль управления. В ее качестве используется стандартная для продуктов компании SecurIT консоль, а поэтому подробно останавливаться на ней мы не будем. Отметим только, что с помощью данного модуля можно управлять системой не только локально, но и удаленно.

Консоль управления

Система Zgate может работать в нескольких режимах. Причем их доступность зависит от способа внедрения продукта. Первые два режима предполагают работу в качестве почтового прокси-сервера. Для их реализации система инсталлируется между корпоративным почтовым сервером и "внешним миром" (или между почтовым сервером и сервером отправки, если они разделены). В этом случае Zgate может как фильтровать трафик (задерживать нарушающие и сомнительные сообщения), так и только журналировать его (пропускать все сообщения, однако сохранять их в архиве).

Второй способ внедрения предполагает использование системы защиты совместно с Microsoft Exchange 2007 или 2010. Для этого необходимо инсталлировать Zgate непосредственно на корпоративный почтовый сервер. При этом также доступно два режима: фильтрация и журналирование. Помимо этого существует и еще один вариант внедрения. Речь идет о журналировании сообщений в режиме зеркалированного трафика. Естественно, для его использования необходимо обеспечить поступление на компьютер, на котором установлен Zgate, этого самого зеркалированного трафика (обычно это осуществляется средствами сетевого оборудования).

Выбор режима работы Zgate

Отдельного рассказа заслуживает компонент Zgate Web. Он устанавливается непосредственно на корпоративный интернет-шлюз. При этом данная подсистема получает возможность контролировать HTTP-, FTP - и IM-трафик, то есть обрабатывать его в целях обнаружения попыток отправки конфиденциальной информации через почтовые веб-интерфейсы и "аську", публикации ее на форумах, FTP-серверах, в социальных сетях и пр. Кстати, об "аське". Функция блокировки IM-мессенджеров есть во многих подобных продуктах. Однако именно "аськи" в них нет. Просто потому, что именно в русскоязычных странах она получила наибольшее распространение.

Принцип работы компонента Zgate Web достаточно прост. При каждой отправке информации в любом из контролируемых сервисов система будет генерировать специальное сообщение. В нем содержится сама информация и некоторые служебные данные. Оно отправляется на основной сервер Zgate и обрабатывается в соответствии с заданными правилами. Естественно, отправка информации в самом сервисе не блокируется. То есть Zgate Web работает только в режиме журналирования. С его помощью нельзя предотвратить единичные утечки данных, но зато можно быстро их обнаружить и пресечь деятельность вольного или невольного злоумышленника.