Системы DLP (Data Leak Prevention) бывают разные.
Для специалиста по информационной безопасности основных критериев выбора, как известно, всего два: функциональность продукта и его стоимость. Стоимость DLP-системы чаще всего прямо пропорциональна ее возможностям, хотя так бывает и не всегда.
Что же касается набора возможностей DLP-систем, то принято выделять следующие три «класса функциональности»:
Enterprise DLP – эти системы осуществляют мониторинг и контроль широчайшего перечня возможных каналов утечки данных. Вендоры, разрабатывающие такие системы, у всех на слуху: Symantec, McAfee, Websense, etc. Именно они штурмуют правый верхний квадрант Gartner'а.
Channel DLP – эти системы уже менее функциональны, и в первую очередь – за счет своей «узкой специализации». Примером здесь может служить DLP-система, которая контролирует данные, передаваемые только по электронной почте. Иногда функции DLP такого класса встраиваются в другие продукты (в почтовый сервер, если следовать тому же примеру).
DLP-lite – эти системы выделились в отдельный класс относительно недавно, и представляют собой совсем легкие продукты (читай: утилиты). Основное их назначение – быстро развернуться в инфраструктуре и быстро решить несложную конкретную задачу.
В настоящей статье я хочу привести пример работы программного продукта, который как нельзя лучше подпадает под третий класс «сложности». Речь пойдет про DLP Lite производства американской компании STEALTHbits Technologies. Продукт этот абсолютно бесплатен и решает одну-единственную задачу: ищет в расположенных на диске файлахчувствительные sensitive данные.
Заполняем форму вот на этой странице и после этого скачиваем файл DLPLiteSetup.msi.
Размер файла – 5,7 Мб.
Запускаем инсталлятор, I Agree, Next, Next, Next, Finish.
В разделе «Where to scan…» в поле «File Path» мы указываем путь, по которому у нас лежит куча файлов, среди которых мы хотим найти те документы, которые не должны там лежать. Отдельными галками отмечаем необходимость сканировать подпапки и указываем нужную глубину погружения в эти самые подпапки.
В поле «Wildcard» мы можем указать маску, по которой будут фильтроваться файлы при сканировании. По умолчанию в этом поле указано *.*, но если нажать на кнопку «More», то станет ясно, что не такой уж там и *.*
Текстовый файл DLPFileTypes.txt, открывающийся по кнопке «More», сообщает нам о том, что настройки из этого файла применяются дополнительно к настройкам, указанным в поле «Wildcard».
В частности, параметр
определяет расширения тех файлов, которые будут просканированы.
Аналогично, параметр
определяет расширения тех файлов, которые будут исключены из сканирования.
Таким образом, если мы удалим или закомментируем эти два параметра, сканер пройдется вообще по всем-всем-всем файлам.
В разделе «What to look for…» в поле «Search for:» мы с помощью галок отмечаем те сущности, которые хотим отыскать в файлах при сканировании. По умолчанию в DLP Lite имеется возможность искать:
• Social Security Numbers
• Credit Cards
• CC:Visa
• CC:Amex
• CC:Mastercard
• Email Addresses
• Currency
• Phone No (US/CAN)
• ZIP Code
• Zip US East
• ZIP US Central
• ZIP US West
• CDN Postal Code
Кнопка «Check All»/ «Uncheck All» позволяет нам одним кликом выбрать все сущности для поиска либо снять выбор, а кнопка «View Definitions» открывает файл DLPTypes.txt. Именно в этом файле хранятся регулярные выражения, с помощью которых и парсятся файлы в целевой папке.
Разумеется, этот файл можно дополнять своими записями. В качестве примера на скриншоте показан добавленный вариант «Российский паспорт» и соответствующее ему регулярное выражение для поиска серии и номера паспорта.
Если нужно произвести поиск по какому-либо критерию, но нет необходимости делать это на постоянной основе, то можно не редактировать файл DLPTypes.txt. В том же самом разделе «What to look for…» имеется поле «Custom Regular Expression» — вот туда и вписываем свое регулярное выражение.
В разделе «Options…» имеется три возможности поставить галочки:
• показывать только те файлы, для которых критерии поиска были выполнены
• показывать файлы, к которым сканер по какой-то причине не смог получить доступ (например, не хватает прав)
• не сканировать файлы больше определенного размера (по умолчанию порогом является 1 Мб)
После настройки всех параметров нажимаем кнопку «START SCAN».
При сканировании файлов имеется возможность приостановить процесс или прервать его полностью. В любом случае в результате появится новое окно с двумя вкладками: «Progress» и «Analyze».
На вкладке «Progress» отображается информация о том, сколько файлов обработал сканер, сколько (потенциально) интересующих нас данных он обнаружил, к скольким файлам сканер не смог получить доступ.
На вкладке «Analyze» в табличном виде отображается информация о том, что конкретно было найдено. В каждой колонке имеется возможность сортировки, фильтрации и группировки результатов сканирования. Для группировки нужно перетащить заголовок нужной колонки в серое поле вверху таблицы.
Здесь же присутствует кнопка экспорта результатов в XLS-файл. К сожалению, другие форматы экспорта не поддерживаются.
На сайте производителя можно почитать/скачать User Manual объемом целых 4 страницы.
Резюме: DLP Lite — незамысловатый продукт, который можно взять на вооружение до тех пор, пока не будет найдено более удобное бесплатное средство. Или пока не появятся деньги на платное.
Кстати, о платном.
На первых скриншотах видна реклама производителя: UPGRADE TO DLP PRO | SUMMER 2012.
И хотя до конца лета 2012 осталась всего неделя, никаких подробностей о PRO-версии до сих пор нет. По ссылке, зашитой в рекламу, запускается минутный видеоролик с какими-то круговыми диаграммами и таблицами.
Для специалиста по информационной безопасности основных критериев выбора, как известно, всего два: функциональность продукта и его стоимость. Стоимость DLP-системы чаще всего прямо пропорциональна ее возможностям, хотя так бывает и не всегда.
Что же касается набора возможностей DLP-систем, то принято выделять следующие три «класса функциональности»:
Enterprise DLP – эти системы осуществляют мониторинг и контроль широчайшего перечня возможных каналов утечки данных. Вендоры, разрабатывающие такие системы, у всех на слуху: Symantec, McAfee, Websense, etc. Именно они штурмуют правый верхний квадрант Gartner'а.
Channel DLP – эти системы уже менее функциональны, и в первую очередь – за счет своей «узкой специализации». Примером здесь может служить DLP-система, которая контролирует данные, передаваемые только по электронной почте. Иногда функции DLP такого класса встраиваются в другие продукты (в почтовый сервер, если следовать тому же примеру).
DLP-lite – эти системы выделились в отдельный класс относительно недавно, и представляют собой совсем легкие продукты (читай: утилиты). Основное их назначение – быстро развернуться в инфраструктуре и быстро решить несложную конкретную задачу.
В настоящей статье я хочу привести пример работы программного продукта, который как нельзя лучше подпадает под третий класс «сложности». Речь пойдет про DLP Lite производства американской компании STEALTHbits Technologies. Продукт этот абсолютно бесплатен и решает одну-единственную задачу: ищет в расположенных на диске файлах
Установка DLP Lite
Заполняем форму вот на этой странице и после этого скачиваем файл DLPLiteSetup.msi.
Размер файла – 5,7 Мб.
Запускаем инсталлятор, I Agree, Next, Next, Next, Finish.
Преднастройка и запуск DLP Lite
В разделе «Where to scan…» в поле «File Path» мы указываем путь, по которому у нас лежит куча файлов, среди которых мы хотим найти те документы, которые не должны там лежать. Отдельными галками отмечаем необходимость сканировать подпапки и указываем нужную глубину погружения в эти самые подпапки.
В поле «Wildcard» мы можем указать маску, по которой будут фильтроваться файлы при сканировании. По умолчанию в этом поле указано *.*, но если нажать на кнопку «More», то станет ясно, что не такой уж там и *.*
Текстовый файл DLPFileTypes.txt, открывающийся по кнопке «More», сообщает нам о том, что настройки из этого файла применяются дополнительно к настройкам, указанным в поле «Wildcard».
В частности, параметр
INCLUDE=xls,xlsx,doc,docx,ppt,pptx,rtf,txt,htm,html,xml,csv,tsv,pdf
определяет расширения тех файлов, которые будут просканированы.
Аналогично, параметр
EXCLUDE=DLL,EXE,MSI,WMV,MOV,ISO,SYS,ICO,BMP,JPG,GIF,TMP,LOG
определяет расширения тех файлов, которые будут исключены из сканирования.
Таким образом, если мы удалим или закомментируем эти два параметра, сканер пройдется вообще по всем-всем-всем файлам.
В разделе «What to look for…» в поле «Search for:» мы с помощью галок отмечаем те сущности, которые хотим отыскать в файлах при сканировании. По умолчанию в DLP Lite имеется возможность искать:
• Social Security Numbers
• Credit Cards
• CC:Visa
• CC:Amex
• CC:Mastercard
• Email Addresses
• Currency
• Phone No (US/CAN)
• ZIP Code
• Zip US East
• ZIP US Central
• ZIP US West
• CDN Postal Code
Кнопка «Check All»/ «Uncheck All» позволяет нам одним кликом выбрать все сущности для поиска либо снять выбор, а кнопка «View Definitions» открывает файл DLPTypes.txt. Именно в этом файле хранятся регулярные выражения, с помощью которых и парсятся файлы в целевой папке.
Разумеется, этот файл можно дополнять своими записями. В качестве примера на скриншоте показан добавленный вариант «Российский паспорт» и соответствующее ему регулярное выражение для поиска серии и номера паспорта.
Если нужно произвести поиск по какому-либо критерию, но нет необходимости делать это на постоянной основе, то можно не редактировать файл DLPTypes.txt. В том же самом разделе «What to look for…» имеется поле «Custom Regular Expression» — вот туда и вписываем свое регулярное выражение.
В разделе «Options…» имеется три возможности поставить галочки:
• показывать только те файлы, для которых критерии поиска были выполнены
• показывать файлы, к которым сканер по какой-то причине не смог получить доступ (например, не хватает прав)
• не сканировать файлы больше определенного размера (по умолчанию порогом является 1 Мб)
После настройки всех параметров нажимаем кнопку «START SCAN».
Просмотр результатов
При сканировании файлов имеется возможность приостановить процесс или прервать его полностью. В любом случае в результате появится новое окно с двумя вкладками: «Progress» и «Analyze».
На вкладке «Progress» отображается информация о том, сколько файлов обработал сканер, сколько (потенциально) интересующих нас данных он обнаружил, к скольким файлам сканер не смог получить доступ.
На вкладке «Analyze» в табличном виде отображается информация о том, что конкретно было найдено. В каждой колонке имеется возможность сортировки, фильтрации и группировки результатов сканирования. Для группировки нужно перетащить заголовок нужной колонки в серое поле вверху таблицы.
Здесь же присутствует кнопка экспорта результатов в XLS-файл. К сожалению, другие форматы экспорта не поддерживаются.
На сайте производителя можно почитать/скачать User Manual объемом целых 4 страницы.
Резюме: DLP Lite — незамысловатый продукт, который можно взять на вооружение до тех пор, пока не будет найдено более удобное бесплатное средство. Или пока не появятся деньги на платное.
Кстати, о платном.
На первых скриншотах видна реклама производителя: UPGRADE TO DLP PRO | SUMMER 2012.
И хотя до конца лета 2012 осталась всего неделя, никаких подробностей о PRO-версии до сих пор нет. По ссылке, зашитой в рекламу, запускается минутный видеоролик с какими-то круговыми диаграммами и таблицами.