Acronis DeviceLock DLP
Вы можете приобрести лицензии Acronis DeviceLock DLP, обратившись в отдел продаж SOFTICO. Компания SOFTICO является авторизованным дистрибьютором продуктов Acronis в Украине. У нас Вы можете получить оптимальные цены, консультацию по лицензированию, а также профессиональную техническую поддержку по ряду производителей.
Характеристики
Программный комплекс Acronis DeviceLock DLP реализован на основе модульной архитектуры с единым унифицированным управлением, включающей автономные продукты и их опциональные компоненты, функции которых взаимодополнительны, а лицензирование избирательно – в зависимости от требуемых характеристик DLP-системы.
Функционально-модульная архитектура лицензирования
Покомпонентное инкрементально-функциональное лицензирование позволяет заказчикам выбирать оптимальное сочетание компонентов комплекса Acronis DeviceLock DLP, активируя только те функции защиты от утечек данных, которые необходимы для решения их текущих задач в области информационной безопасности в рамках доступного бюджета. Модульность архитектуры и гибкий подход к лицензированию обеспечивают возможность наращивания функциональности развернутой системы Acronis DeviceLock DLP поэтапно, по мере повышения требований к защите данных, начиная с базового контроля доступа к периферийным устройствам и портам компьютеров и вплоть до полнофункционального DLP-решения, сочетающего широкий спектр контекстных контролей с контентной фильтрацией данных для эффективного предотвращения от их утечек с корпоративных компьютеров.
Основной автономный программный продукт комплекса Acronis DeviceLock Endpoint DLP Suite предотвращает утечки данных при их локальном использовании и перемещении (data-in-use) на защищаемых корпоративных компьютерах, а также при передаче данных по сети (data-in-motion).
Базисным компонентом Acronis DeviceLock Endpoint DLP Suite в его любой функциональной конфигурации является Acronis DeviceLock® Core, который обеспечивает гранулированный контекстный контроль операций передачи данных по локальным каналам ввода-вывода на защищаемых компьютерах, включая доступ пользователей к периферийным устройствам и портам, печать документов, операции системного буфера обмена, контроль снимков экрана, форматирование и извлечение носителей, а также синхронизацию с локально подключенными мобильными устройствами.
Помимо контекстных контролей Acronis DeviceLock Base позволяет контролировать операции с файлами по их реальному типу, а также операции системного буфера обмена в зависимости от типа копируемых данных. Кроме того, компонент Acronis DeviceLock Base включает в себя все консоли и прочие элементы централизованного управления Acronis DeviceLock Endpoint DLP Suite и потому должен использоваться в любой инсталляции продукта.
Опциональный компонент NetworkLock™, используемый на исполнительном агенте Acronis DeviceLock дополнительно к Acronis DeviceLock Core, обеспечивает контекстный контроль коммуникаций пользователей защищаемых компьютеров через сетевые протоколы и приложения, включая популярные почтовые платформы, сервисы веб-почты, мессенджеры, облачные файлообменные сервисы и социальные сети, поисковые системы, веб-доступ из стандартных браузеров и Tor Browser, Telnet-сессии a также передачу файлов по протоколам SMB, HTTP/HTTPS, FTP/FTPS и Torrent.
Третий функциональный компонент – ContentLock™, являясь опциональным дополнением к Acronis DeviceLock Core, реализует контентный анализ и фильтрацию файлов и других объектов данных при их использовании и передаче с защищаемых компьютеров. Перехват локальных операций с данными и передачу объектов для анализа и фильтрации содержимого в ContentLock обеспечивает Acronis DeviceLock Core, тогда как NetworkLock направляет на контентный контроль в ContentLock файлы, сообщения, вложения в электронную почту и другие данные, извлеченные из перехваченных сетевых коммуникаций.
Принципиальной характеристикой взаимодействия компонентов ContentLock, NetworkLock и Acronis DeviceLock Core, решающих задачи превентивного характера, является их способность обеспечить перехват операций с данными и анализ их контента в реальном масштабе времени непосредственно на защищаемых компьютерах, что позволяет реализовать критически важную для DLP-систем функцию предотвращения утечек путем запрета исполнения операции, содержимое данных которой нарушает корпоративный регламент работы с информацией ограниченного доступа.
Серверный модуль перехвата и анализа сетевого трафика EtherSensor, извлекающий из сетевого трафика сообщения, файлы и события на потоках 10 Гбит/с, позволяет обеспечить мониторинг сетевых коммуникаций с рабочих станций и мобильных устройств с любыми операционными системами без установки агентов, сохраняя полученные данные в централизованной базе данных сервера Acronis DeviceLock Enterprise Server.
Для пост-анализа данных в централизованном архиве событий и теневых копий, может использоваться опциональный серверный компонент Acronis DeviceLock Search Server (DLSS), обеспечивающий полнотекстовый поиск в центральной базе данных журналов мониторинга и теневого копирования. DLSS многократно снижает трудозатратность анализа данных журналов, одновременно повышая скорость и точность процессов аудита и расследования инцидентов информационной безопасности.
Автономный программный продукт комплекса – Acronis DeviceLock Discovery – предотвращает утечки данных, хранимых на персональных компьютерах, файловых серверах и общедоступных сетевых ресурсах в ИТ-инфраструктуре организации (data-at-rest). Сканируя содержимое обнаруженных документов и файлов, сервер и исполнительные агенты Acronis DeviceLock Discovery выявляют нарушения корпоративной политики хранения данных ограниченного доступа и устраняют их при помощи набора предопределенных автоматических корректирующих действий, а также отправки оперативных тревожных оповещений персоналу служб ИБ и в используемые в организации SIEM-системы.
Модульная архитектура комплекса Acronis DeviceLock DLP в сочетании с гибким функционально-инкрементальным лицензированием его компонентов позволяет оптимальным образом удовлетворить требования организаций любого размера и отрасли по защите от утечек данных из корпоративных ИС при минимизации расходов на приобретение и эксплуатацию DLP-системы.
Основные функции и возможности
Acronis DeviceLock обеспечивает контроль доступа пользователей и групп к портам ввода-вывода (USB, FireWire, COM, LPT, IrDA), адаптерам WiFi и Bluetooth, любым типам принтеров (локальные, сетевые и виртуальные), мобильным устройствам (BlackBerry, iPhone/iPad, устройствам под управлением ОС Windows Mobile и Palm, MTP-устройствам Android, Windows Phone и т.п.), а также дисководам, CD/DVD/BD-приводам, любым сменным носителям и устройствам Plug-and-Play, перенаправляемым терминальным устройствам.
Для любого типа устройства или порта можно задать доступ в зависимости от времени и дня недели, а также задать тип доступа “только чтение” для сменных носителей, дисководов, жестких дисков, CD/DVD-приводов, КПК и ленточных накопителей.
Использующий методы глубокого пакетного анализа (DPI) модуль NetworkLock обеспечивает детектирование и селективную блокировку сетевых протоколов и коммуникационных приложений независимо от используемых ими портов и типа подключения, реконструкцию сессий и сообщений с восстановлением передаваемых файлов и иных данных для их оперативного анализа, теневое копирование и событийное протоколирование действий пользователей.
NetworkLock позволяет контролировать коммуникации пользователей через популярные сетевые приложения, включая передачу почтовых сообщений по открытым и SSL-защищенным SMTP-сессиям и протоколам MAPI/ NRPC с раздельным контролем сообщений и вложений, web-доступ и HTTP/HTTPS-приложения, web-почту, мессенджеры, социальные сети, поисковые системы, передачу файлов в облачные сетевые хранилища и по протоколам SMB, FTP/FTP-SSL, a также Telnet-сессии, Torrent и Tor.
Технологии контентного анализа и фильтрации, реализованные в модуле ContentLock, позволяют в режиме реального времени анализировать и фильтровать текстовое и бинарное содержимое данных, копируемых на съемные носители, в буфер обмена, печатаемых документов, а также данных, передаваемых по сетевым каналам связи, включая сообщения и вложения в электронной почте, мессенджерах, веб-формах, социальных сетях, файлообменных сервисах, поисковых системах, SMB-ресурсах и т.д.
Данные извлекаются из 150+ файловых форматов и иных типов данных, включая снимки экрана, графические файлы и внедренные в документы изображения. Контентная фильтрация структурированных данных основывается на использовании шаблонов регулярных выражений (RegExp), анализе по ключевым словам, с поддержкой встроенных отраслевых терминологических словарей и готовых наборов шаблонов регулярных выражений. Для детектирования неструктурированных текстовых и бинарных данных используется технология цифровых отпечатков, позволяющая надежно идентифицировать классифицированные файлы по их содержимому с учетом заданных уровней важности или секретности («Секретно», «Конфиденциально», «ДСП» и т.п.). При создании правил контентной фильтрации условия детектирования можно объединять в сколь угодно сложные комбинации с использованием логических функций «И» и «ИЛИ».
Кроме того, правилами анализа содержимого могут проверяться также метаданные документов, а набор более чем 50 параметров, используемых для задания правил анализа контента, включает также идентификаторы пользователей и их групп, имена компьютеров и типы их интерфейсов, устройства, типы каналов и направление передачи данных, диапазоны дат и времени и многое другое. Кроме того, ContentLock распознает метки, присвоенные документам классификатором Boldon James.
Acronis DeviceLock Discovery предназначен для автоматического сканирования систем хранения данных в ИТ-инфраструктуре организации и обнаружения незащищенных документов и файлов с конфиденциальной информацией. Acronis DeviceLock Discovery устраняет выявленные в результате сканирования нарушения корпоративной политики безопасного хранения данных на основе задаваемых администратором правил, включающих также набор автоматических корректирующих действий.
Такие правила могут определять, какого рода данные сотрудникам недопустимо хранить в корпоративной сети, и какие опциональные действия с обнаруженными документами и файлами следует выполнить. Acronis DeviceLock Discovery позволяет сканировать любые компьютеры, файловые серверы и общедоступные сетевые ресурсы, доступные с сервера Acronis DeviceLock Discovery или с агентов Discovery, автоматически устанавливаемых на защищаемых компьютерах. Лицензируется независимо от остальных компонентов Acronis DeviceLock DLP.
Работающий с сетевым трафиком канального уровня на больших потоках в десятки Гбит/с, серверный модуль EtherSensor обеспечивает извлечение из копии сетевого трафика передаваемых и принимаемых сообщений и файлов корпоративной и веб-почты, социальных сетей, форумов, блогов, мессенджеров, облачных хранилищ и т.д., а также различных действий в интернет-сервисах.
Работая с такими источниками сетевых данных, как зеркальные порты (Mirror ports), сетевые ответвители (Network taps), ICAP-клиенты, PCAP и PcapNG файлы, а также лог транзакций IBM Lotus и Microsoft Skype for Business, серверный модуль EtherSensor, анализирует и выделяет метаданные событий, после чего сохраняет перехваченные события и метаданные в централизованной базе данных Acronis DeviceLock Enterprise Server, где к ним применяются все имеющиеся средства анализа и сигнализирования DeviceLock. Кроме того, EtherSensor предоставляет весьма обширный набор сетевых статистических данных и инструментарий его анализа.
Опционально лицензируемый компонент Acronis DeviceLock Search Server позволяет осуществлять полнотекстовый поиск по содержимому файлов теневого копирования и журналам, хранящимся в центральной базе данных сервера Acronis DeviceLock Enterprise Server.
Полнотекстовый поиск особенно полезен в случаях, когда вам необходим поиск по содержимому документов, хранимых в базе данных теневого копирования. Acronis DeviceLock Search Server может автоматически распознавать, индексировать, находить и отображать документы множества форматов, таких как: Adobe Acrobat (PDF), Ami Pro, Архивы (GZIP, RAR, ZIP), Lotus 1-2-3, Microsoft Access, Microsoft Excel, Microsoft PowerPoint, Microsoft Word, AutoCAD, Microsoft Works, OpenOffice (документы, таблицы и презентации), Quattro Pro, WordPerfect, WordStar и многие другие.
Также предусмотрена возможность запуска поисковых запросов по расписанию с поддержкой инкрементального поиска и автоматической отправкой результатов поиска по электронной почте.
Функция Acronis DeviceLock Administrators обеспечивает необходимый уровень защиты, даже если пользователи в сети имеют административные привилегии на локальных компьютерах. Когда защита Acronis DeviceLock включена, никто, кроме авторизованных администраторов, не может подключиться к агенту, остановить или удалить его. Даже члены локальной группы Администраторы (если они не входят в список авторизованных администраторов DeviceLock) не могут обойти защиту.
Полная интеграция централизованного управления Acronis DeviceLock в групповые политики домена Active Directory позволяет устанавливать Acronis DeviceLock на компьютеры в корпоративной сети, а также выполнять передачу DLP-политик на Агенты Acronis DeviceLock в автоматическом режиме.
Наиболее популярная среди пользователей консоль управления Acronis DeviceLock представляет собой оснастку для Microsoft Management Console (MMC), встраиваемую в стандартную оснастку Group Policy, которая входит в состав Windows 2000 и более поздних операционных систем. Благодаря привычному и интуитивно понятному для сетевых администраторов интерфейсу управление Acronis DeviceLock является крайне простым и не требует написания дополнительных скриптов, изменения схемы домена или шаблонов ADO.
В дополнении к оснастке MMC для групповых политик, предусмотрена дополнительная консоль с собственным интерфейсом – Acronis DeviceLock Enterprise Manager, которая позволяет централизованно управлять любыми компьютерами, выбирая их напрямую из служб каталогов LDAP (таких как Novell eDirectory, Open LDAP и т.п.). Агенты могут быть установлены на удаленные компьютеры с уже определенными политиками безопасности (настройками) путем развертывания специально созданного установочного пакета Microsoft Installer (MSI).
Такой MSI-пакет создается администратором при помощи стандартной консоли управления DeviceLock. С помощью стандартной оснастки Resultant Set of Policy можно просмотреть применяемые в настоящий момент политики Acronis DeviceLock и проверить задаваемый набор политик, который будет применен после его распространения в сети.
Опционально Acronis DeviceLock Enterprise Server (DLES) может выполнять роль управляющего сервера DLP-системы благодаря возможности распространять политики безопасности на установленные на рабочих станциях агенты DeviceLock. Данная возможность является альтернативой консольному управлению агентами и/или использованию групповых политик домена Windows для управления агентами DeviceLock.
Для передачи агентам заданных политик (файлов с шаблоном политики) через DLES используется два способа: “push” (принудительная передача политик сервером) и “pull” (запрос обновления политик агентом Acronis DeviceLock по заданным условиям или по запросу пользователя на контролируемом компьютере).
Acronis DeviceLock позволяет разрешать и запрещать доступ к определенным типам файлов вне зависимости от установленных на устройство или протокол разрешений, а также задавать гибкие политики теневого копирования с целью уменьшения объема хранимых на сервере данных. Определение типов файлов основано на сигнатурном методе и не зависит от расширения файла. Поддерживается более 5300 типов файлов.
Acronis DeviceLock позволяет эффективно предотвращать потенциальную утечку данных еще до того, как они будут переданы с компьютеров – когда пользователь намеренно или случайно копирует данные между различными приложениями и документами через встроенный в ОС Windows буфер обмена.
Политики контроля Acronis DeviceLock могут быть настроены для выборочной блокировки и аудита операций передачи данных через системный буфер между различными приложениями (например, из MS Word в MS Excel или в OpenOffice). Контекстный контроль доступа пользователей к операциям буфера обмена обеспечивается на уровне объектов и типов данных – включая файлы, текстовые данные, графические изображения, аудиофрагменты (например, записи, сделанные Windows Sound Recorder), а также данные неопределенного типа.
Acronis DeviceLock также позволяет селективно блокировать «снимки экрана», выполняемые стандартной функцией Windows PrintScreen, как для отдельных пользователей, так и для различных приложений.
Для каждого пользователя или группы можно задать свой “белый” список устройств, доступ к которым будет всегда разрешен. Устройства можно идентифицировать по модели и по уникальному серийному номеру.
Acronis DeviceLock позволяет идентифицировать определенный CD/DVD-диск на основе записанных на него данных и разрешить его использование, даже если сам CD/DVD-привод заблокирован. Для каждого пользователя или группы можно задать свой “белый” список носителей.
Позволяет предоставлять временный доступ к устройствам при отсутствии сетевого подключения к агенту. Администратор сообщает пользователю специальный короткий буквенно-цифровой код (например, по телефону), который временно разблокирует доступ только к требуемому устройству.
Модуль NetworkLock позволяет задавать политики безопасности, основанные на принципе “белого” списка сетевых протоколов, который дополнительно может детализироваться по IP-адресам, их диапазонам и маскам подсетей, а также по сетевым портам и их диапазонам.
Acronis DeviceLock позволяет протоколировать все действия пользователей с устройствами и файлами (копирование, чтение, удаление и т.п.). Также можно протоколировать изменения в настройках Acronis Devicelock, время старта и остановки агента. Acronis DeviceLock использует стандартную подсистему событийного протоколирования Windows, а также автоматически собирает данные аудита с удаленных компьютеров в локальной сети и хранит их в центральной базе данных SQL Сервера.
Даже пользователи с административными правами (если они не входят в список авторизованных администраторов Acronis DeviceLock) не могут изменить, удалить или иным образом исказить данные журналов аудита, переданные на Acronis DeviceLock Enterprise Server.
Функция теневого копирования в Acronis DeviceLock позволяет для заданных пользователей или групп сохранять точную копию данных, копируемых на внешние устройства, передаваемых через последовательные и параллельные порты, печатаемых на локальных и сетевых принтерах, а также передаваемых по каналам сетевых коммуникаций. Точные копии всех файлов и данных сохраняются в централизованном архиве на основе SQL-базы данных на сервере Acronis DeviceLock Enterprise Server (DLES). Поддерживается возможность создания как распределенного архива, так и единого централизованного архива благодаря функции консолидации данных с серверов DLES.
Acronis DeviceLock обеспечивает тревожные оповещения администратора в реальном режиме времени (алертинг). Оповещения могут отправляться по протоколам SMTP, SYSLOG и/или SNMP. Предусмотрено два типа оповещений: административные (изменение настроек сервиса, остановка агента DeviceLock, изменения в списке администраторов Acronis DeviceLock Administrators, неуспешные попытки пользователя внести изменения в политики и т.п.) и специфичные для устройств и протоколов.
Настройка тревожных оповещений осуществляется администратором аналогично настройке правил аудита, при этом не заменяет аудит.
Для централизованного сбора и хранения данных теневого копирования и журналов аудита используется дополнительный нелицензируемый компонент Acronis DeviceLock Enterprise Server (DLES). Для равномерного распределения нагрузки в локальной сети можно установить несколько экземпляров DLES, которые, в свою очередь, используют любое количество SQL-серверов для хранения данных.
Acronis DeviceLock позволяет контролировать синхронизацию компьютера с КПК и смартфонами, работающими под управлением ОС Windows Mobile, iOS и Palm OS, и осуществлять аудит и теневое копирование данных, передаваемых с компьютера на эти мобильные устройства. Возможно задавать разрешения для различных объектов (файлы, контакты, почта и т.д.), передаваемых с компьютера на КПК и наоборот в процессе синхронизации мобильного устройства.
Также возможно включить аудит и теневое копирование для файлов и других объектов (контакты, почта и т.д.), копируемых с компьютера на КПК. Поддерживаются все интерфейсы подключения КПК (USB, COM, IrDA, Bluetooth, WiFi).
Acronis DeviceLock может применять один набор политик для ситуации, когда компьютер подключен к сети, доступен контроллер домена или доступен Acronis DeviceLock Enterprise Server (оперативный режим), и другой набор политик для ситуации, когда компьютер не подключен к сети, не доступен контроллер домена или не доступен Acronis DeviceLock Enterprise Server (автономный режим).
Применение различных политик для двух режимов полезно, например, для запрета использования адаптеров WiFi, когда компьютер подключен к локальной сети компании, и разрешения, когда отключен.
Использование OCR-технологии позволяет извлекать текст из графических файлов (например, отсканированных документов или скриншотов) и проверять его контентно-зависимыми правилами.
Acronis DeviceLock позволяет устанавливать специальные “политики шифрования” для внешних подключаемых дисков, зашифрованных при помощи сторонних программных средств шифрования. Используя такие политики, возможно, например, разрешить запись только зашифрованных данных на съемные устройства и запретить запись незашифрованных данных.
Acronis DeviceLock обнаруживает диски, созданные продуктами BitLocker To Go (встроенное в ОС Windows средство шифрования данных на съемных носителях) , FileVault (встроенное в Apple OS X средство шифрования данных) , ViPNet SafeDisk (продукт российской компании Инфотекс, сертифицирован ФСБ России как СКЗИ), PGP Whole Disk Encryption, DriveCrypt и TrueCrypt (USB-флешки и другие съемные устройства), а также распознает флеш-диски Lexar JumpDrive SAFE S3000 и Lexar SAFE PSD, поддерживающие аппаратное шифрование данных.
Acronis DeviceLock обеспечивает контроль потока данных между виртуальным рабочим столом или опубликованным приложением и перенаправленными на удаленные рабочие компьютеры периферийными устройствами (Terminal Service Devices), включая съемные накопители, принтеры, USB-порты и буфер обмена данными, включая контентный анализ, журналирование действий пользователя и теневое копирование переданных им файлов и данных.
Acronis DeviceLock поддерживает решения для виртуализации рабочих сред и приложений от Microsoft (RDS/RDP, RemoteFX), Citrix (XenApp, XenDesktop, XenServer), Oracle (VIrtualBox) и VMware (VMware View).
Расширенные функции
Acronis DeviceLock обнаруживает USB-кейлоггеры и блокирует клавиатуры, подсоединенные к ним. Также Acronis DeviceLock может предотвращать запись данных на PS/2 кейлоггеры. Acronis DeviceLock искажает вводимые с PS/2 клавиатуры данные и вынуждает PS/2 записывать «мусор» вместо реально вводимых данных.
Acronis DeviceLock Enterprise Server позволяет контролировать текущее состояние агентов на удаленных компьютерах. Acronis DeviceLock Enterprise Server может периодически опрашивать удаленные компьютеры и сохранять в журнал мониторинга текущее состояние, версию и сведения о настройках каждого агента.
Кроме того, Acronis DeviceLock Enterprise Server сравнивает текущие политики безопасности (настройки) агентов на указанных администратором компьютерах с эталонными политиками, сохраненными в XML-файл, и записывает информацию о выявленных отклонениях в журнал мониторинга. При этом возможна автоматическая замена текущих политик безопасности на эталонные.
Acronis DeviceLock позволяет безопасно обновлять настройки агентов на отключенных от сети компьютерах путем создания файлов с настройками и передачи их пользователям, чьи компьютеры не подключены к сети и находятся вне досягаемости консолей управления. Для предотвращения неавторизованных изменений в настройках эти файлы могут быть подписаны при помощи электронной цифровой подписи.
Acronis DeviceLock позволяет формировать графические отчеты на основе данных из журналов аудита и теневого копирования, хранимых на сервере Acronis DeviceLock Enterprise Server. Эти отчеты могут быть автоматически высланы по электронной почте на указанный адрес. Также Acronis DeviceLock позволяет формировать отчеты по установленным настройкам, применяемым на агентах DeviceLock, и по Plug-n-Play устройствам (USB, FireWire и PCMCIA), которые используют пользователи на своих локальных компьютерах.
Acronis DeviceLock может определять баланс своего сетевого трафика, позволяя вам ограничивать пропускную способность сети для данных аудита и теневого копирования идущих от агентов на Acronis DeviceLock Enterprise Server.
Acronis DeviceLock может использовать потоковое сжатие данных аудита и теневого копирования, пересылаемых с удаленных агентов на Acronis DeviceLock Enterprise Server, для уменьшения объема передаваемой по сети информации и снижения нагрузки на сеть.
Для передачи данных аудита и теневого копирования, агенты могут выбирать из своих списков наиболее быстрые из доступных серверов.