Клиенты
  • Сибур-Химпром
  

Обзор SecurIT Zgate (часть II)

Алексей Баранов, Anti-Malware 08.05.2010

SecurIT Zgate Во второй части обзора мы продолжаем рассказ о SecurIT Zgate, корпоративном решении, предназначенном для анализа интернет-трафика на уровне шлюза с целью обнаружения и блокирования попыток утечки конфиденциальных данных. Ранее мы уже подробно рассмотрели технологии и функционал продукта, его установку и богатые возможности анализа данных. Теперь непосредственно разберем, как настраиваются правила контроля и анализа сетевого трафика, действия при обнаружении инцидентов и сделаем итоговые выводы.

 

Мониторинг и обработка сообщений

В первой части обзора мы определили, что мы будем отслеживать и фильтровать. Теперь переходим к тому, ради чего, собственно и затевались все предыдущие действия, а именно настройке того, как именно будет вестись контроль и анализ содержимого сообщений, а также действий, которые будут осуществляться над сообщениями.

 

Рисунок 37: Окно настроек фильтрации

SecurIT Zgate

 

Сделаем оговорку, детальная настройка фильтрации выходит за рамки данного обзора ввиду своей объёмности. Поэтому вкратце рассмотрим основные возможности.

Общий принцип фильтрации почтовых сообщений состоит в выполнении определенных действий. С каждым действием связывается условие, и действие выполняется, если его условие истинно. Для каждого письма последовательно выполняется каждое действие, условие которого истинно, до момента, когда будет выполнено действие, завершающее обработку письма. Действия, завершающие  обработку  письма — это  удаление письма, доставка письма адресату или помещение письма в карантин.

Последовательность выполнения действий для каждого письма определяется их порядком в списке действий:

  • сначала выполняются все действия, у которых в поле "Выполнять" установлено значение "Предварительная обработка"  (данные действия выполняются, безусловно, если перед ними нет действия, завершающего обработку письма);
  • затем, в случае истинности соответствующих условий,  выполняются действия, у которых в поле  "Выполнять" для условия  не  задано значение  "Заключительная обработка"  (для каждого из таких действий должно быть указано условие его выполнения);
  • затем выполняются все действия, у которых в поле "Выполнять" задано "Заключительная обработка"  (если после выполнения всех действий, указанных в данной категории, обработка письма не завершилась, письмо удаляется без доставки).

Условия предназначены для описания механизма проверки письма соответствию каким-либо критериям. Результат выполнения условия: да или  нет. Система Zgate предоставляет большой набор классов условий, различающихся по назначению и принципу действия.

 

Рисунок 38: Выбор класса создаваемых условий

SecurIT Zgate

 

Как видно из рисунка, возможности для создания условий, по которым будет вестись анализ сообщений, довольно обширны. С учётом комбинации условий, сообщение можно подвергать глубокому анализу.

Каждое условие имеет:

  • имя, вводимое пользователем и предназначенное для идентификации условия в составных условиях, журнале анализа и т.п.;
  • значок, который отображается в архиве для письма, удовлетворяющего этому условию;
  •  комментарий.

Рассмотрим вкратце возможности каждого класса условий.

Тип файла вложения (рисунок 39). Определяется формат файла вложения путем анализа его структуры. Если в сообщении будет найдено вложение искомого типа, условие будет выполнено. Список поддерживаемых типов файлов очень широк.

 

Рисунок 39: Тип файла вложения

SecurIT Zgate

 

Контентный анализ (рисунок 40). Осуществляется  анализ наличия строки в полях, параметрах, тексте, вложениях и атрибутах письма. Поддерживается морфологический анализ  (определение морфологических характеристик каждого слова) и поиск с учетом окончаний (стемминг нахождение неизменяемой части слова для заданного исходного слова).

 

Рисунок 40: Контентный анализ

SecurIT Zgate

 

Морфологический анализ основывается на словарях и позволяет получать точные словоформы заданного слова. При использовании этого типа анализа, модуль морфологического анализа получает на вход слово и выдает его лемму (словарную форму: столом — стол и морфологическую информацию (род, число, падеж, и т. д.)).

Алгоритм обработки окончаний (стемминг),  в отличие от морфологического анализа, выполняется без использования словаря. Во время анализа в заданном слове выделяется псевдооснова, путем отбрасывания окончания и суффикса, и эта псевдооснова ищется в тексте.

У этих методов есть и недостатки. К примеру: получение некорректных псевдооснов (если отбросить стандартные для русского языка суффиксы -ать из слова кровать, то получается другое слово кров). Эти недостатки связаны в первую очередь с самим языком и с ними ничего не поделаешь.

Также можно осуществлять анализ сообщений с помощью шаблонов. Шаблоны можно создавать на основе спецсимволов и регулярных выражений.

Все эти методы позволяют "разобрать сообщение на молекулы" и подвергнуть глубокому анализу его содержание.

Составное условие (рисунок 41). Тут всё просто. Этот класс предназначен для проверки выполнения нескольких условий.

 

Рисунок 41: Составное условие

SecurIT Zgate

 

По умолчанию операции имеют следующий приоритет: НЕ, И, ИЛИ.  Для изменения приоритетов операций используются круглые скобки.

Проверка внешним приложением (рисунок 42). Письмо проверяется внешней утилитой или скриптом.

 

Рисунок 42: Проверка внешним приложением

SecurIT Zgate

 

Анализ по словарю (рисунок 43). Анализирует наличие слов из указанных словарей в полях, параметрах, тексте и вложениях письма.

 

Рисунок 43: Анализ по словарю

SecurIT Zgate

 

Используются те словари, которые мы создавали в предыдущем разделе.

Анализ адресов (рисунок 44). Анализируются  адреса, указанные в письме. При добавлении условия выбираются поля, в которых осуществляется поиск:

  • отправитель (FROM);
  • получатель (TO);
  • копия (CC);
  • скрытая копия (BCC);
  • обратный адрес (Reply to).
  • В поле Строка  задается текст, который необходимо найти и выбирается тип сравнения.

Кроме анализа адреса на наличие заданного текста, можно осуществлять поиск по адресу пользователя (группы пользователей) из Active Directory либо по почтовому ящику (группе рассылки) Microsoft Exchange.

 

Рисунок 44: Анализ адресов

SecurIT Zgate

 

Анализ зашифрованных файлов. Осуществляется  проверка  наличия зашифрованных файлов вложений: DOC, DOCX, XLS, XLSX, PPT, PPTX, PDF, ODB, ODF, ODG, ODP, RAR, ZIP. Условие выполняется, если в письме содержится, хотя бы, один зашифрованный файл указанных типов. Файл считается зашифрованным, если к нему применялось шифрование,  встроенное в соответствующую программу (например, для *.doc — Microsoft Word).

Анализ параметров сообщения (рисунок 45). На рисунке видно, какие параметры сообщения могут проанализированы. Задание условия для параметра письма производится с указанием переменной, оператора и значения переменной  (зависит от типа переменной).

 

Рисунок 45: Анализ параметров сообщения

SecurIT Zgate

 

Классы действий. Помимо классов условий, существуют ещё и классы действий. То есть те действия, которые будут применяться к созданным условиям.
Существуют следующие классы действий:

  • обработка внешним приложением;
  • сохранение в архив;
  • помещение в карантин;
  • удаление письма;
  • доставка письма;
  • добавление вложения;
  • удаление вложения;
  • вставка текста;
  • изменение поля;
  • уведомление;
  • журналирование;
  • обработка методом Байеса;
  • обработка методом отпечатков

 

Рисунок 46: Классы действий

SecurIT Zgate

 

Обработка внешним приложением. Этот класс аналогичен классу условий "Обработка внешним приложением".

Удаление письма. Данное действие завершает обработку письма без доставки письма адресату.

Сохранение в архив. Данное действие позволяет сохранять в архиве целые сообщения или отдельные их части. При добавлении действия выбираются следующие части сообщения, которые будут сохранены в архив:

  • параметры письма (дата/время, адресаты, тема, категории, имена файлов вложений);
  • текст письма;
  • текст вложений;
  • файлы вложений;
  • сообщение в формате MIME;
  • вложения внутри MIME

Доставка письма. Действие доставляет письмо адресату в соответствии с настройками, указанными на вкладке Передача в настройках SecurIT Zgate. После выполнения этого действия обработка письма завершается.

Помещение в карантин (рисунок 47). Данное действие помещает письмо в карантин и обработка письма завершается. Карантин — это специальная часть архива, предназначенная для хранения писем, требующих проверки офицером безопасности.

 

Рисунок 47: Помещение в карантин

SecurIT Zgate

 

Сообщение может быть доставлено адресату либо только после того как это разрешит офицер безопасности, либо ожидать подтверждение некоторый период времени, по истечению которого сообщение будет доставлено адресату автоматически.

Вставка текста. Данное действие вставляет текст в тело письма. При добавлении действия  указывается, какую часть сообщения будет вставляться текст (в начало или в конец) и сам текст. В тексте можно использовать параметры сообщения, такие как %SUBJECT%, %TO%, %CC% и т. д.

Изменение поля. Данное действие изменяет значение полей (таких как отправитель, получатель, тема и т. д.). При добавлении действия указывается, какое поле будет изменяться:

  • копия (CC);
  • отправитель (FROM);
  • получатель (TO)
  • скрытая копия (BCC);
  • тема письма;

Удаление вложений. В данном классе действий можно задать, какие типы файлов-вложений будут удалены из сообщения. При добавлении действия указывается, удалять все вложения или вложения определенных типов. Можно выбрать для удаления вложения определенного класса  (например: файлы-архивы, аудиофайлы и т. д.), либо конкретные типы файлов.

Добавление вложений. Действие прямо противоположное предыдущему. В данном действии можно указать файл (файлы), которые будут прикреплены к письму.

Уведомление (рисунок 48). Данное действие отправляет письмо-уведомление на указанный адрес. При добавлении действия указываются почтовые адреса отправителя и получателя, тема письма и сопроводительный текст. К уведомлению можно прикрепить обрабатываемое письмо. В теме и тексте письма можно использовать параметры сообщения, такие как %SUBJECT%, %TO%, %CC% и т. д.

Уведомления могут быть полезны, в том числе, для обучения сотрудников компании аккуратной работе с конфиденциальными данными.

 

Рисунок 48: Класс действий "Уведомление"

SecurIT Zgate

 

Журналирование. Журналирование позволяет регистрировать в журнале информацию о том кто именно, когда и какие действия производил с сообщениями, передаваемыми с помощью электронной почты. Редактирование производится аналогично настройке обработки событий SecurIT Zgate.

Обработка методом Байеса (рисунок 49). Действие осуществляет проверку письма на принадлежность к категории с использованием статистического метода Байеса. C помощью  анализа, основанного на методе Байеса,  определяется, к какой из заданных категорий с  наибольшей вероятностью принадлежит обрабатываемое письмо. Категории в системе SecurIT Zgate соответствует словарь, который был составлен ранее. Также указывается пороговое значение срабатывания категории.

 

Рисунок 49: Обработка методом Байеса

SecurIT Zgate

 

Обработка методом отпечатков (рисунок 50). Действие осуществляет проверку письма на принадлежность к категории с помощью метода отпечатков. Необходимо указать поля, по которым необходимо выполнить поиск, указать пороговую степень схожести документов и определить категории документов, по которым будет выполняться поиск. В работе используются ранее созданные базы отпечатков. Для этого класса действия также указывается пороговое значение схожести с базой отпечатков.

 

Рисунок 50: обработка методом отпечатков

SecurIT Zgate

 

Как мы уже говорили, сообщения могут быть помещены в архив и карантин.

На этом мы заканчиваем обзор возможностей фильтрации. Теперь кратко рассмотрим ещё два важных момента в работе SecurIT Zgate.

 

Архив и карантин сообщений

Архив предназначен для  хранения  копий  сообщений (с вложениями или без), поиска сообщений в архиве по параметрам сообщения или на основе анализа текстовой составляющей сообщения; и хранения сообщений, находящихся в карантине.

 

Рисунок 51: Задание параметров запроса поиска в архиве

SecurIT Zgate

 

Карантин — это специальная часть архива, предназначенная для хранения писем, требующих ручной обработки офицером безопасности.  Офицер безопасности периодически просматривает карантин и либо позволяет пересылку помещенных туда сообщений, либо выполняет какое-либо другое действие с письмом — запись в архив, удаление и т. д.

 

Рисунок 52: Карантин

SecurIT Zgate

 

На этом мы заканчиваем краткий обзор системы SecurIT Zgate.

Выводы

После ознакомления с продуктом у нас сложилось впечатление, что SecurIT Zgate сделан на крепкую пятёрку. Разработчики системно подошли к созданию продукта, хорошо изучив конкурирующие решения, и поставив себе цель создания одного из лучших продуктов в этом классе.

Возможности SecurIT Zgate очень большие. Его важной особенностью является контроль не только внешней почты, но и внутренней! Также, важным является то, что продукт, в отличие от западных аналогов, поддерживает русскую морфологию, что позволяет грамотно строить правила анализа с использованием словарей. Продукт предоставляет широчайшие возможности по настройке правил обнаружения и блокирования утечек конфиденциальных данных, вобрав в себя, пожалуй, все возможные методы анализа содержимого для такого класса продуктов (лингвистку, регулярные выражения, цифровые отпечатки и даже статистический метод).

Продукт однозначно требует грамотного подхода к настройке. Особенное внимание стоит обратить на настройку правил анализа содержимого, в том числе словарей, которые будут использоваться в анализе методом Байеса, а также на базу цифровых отпечатков. От правильности настройки будет сильно зависеть корректность анализа и эффективность работы продукта в целом.

Соответствие современным стандартам, отличные возможности контроля веб-трафика, глубокий анализ сообщений и содержимого документов, ведение архива сообщений, использование единой консоли управления для всей линейки продуктов компании SecurIT, которые вместе составляют единый комплекс – всё говорит о том, что продукт достоин  применения в компаниях, которые действительно беспокоятся о своей информационной безопасности.

Из минусов, стоит отметить невозможность отслеживания HTTPS-трафика (эта возможность будет в версии 3.0), трафика Mail.Ru Агента, Windows Messenger, Yahoo! Messenger и Jabber (Google Talk, Я.Онлайн и пр.) (работа по добавлению поддержки этих сервисов уже ведётся). Также хотелось бы видеть в продукте возможность отслеживания переписки по Skype. Но, к сожалению, на данный момент, ни одна DLP-система не позволяет контролировать трафик Skype.

Ещё один минус – отчётность. Её явно не хватает для продукта такого класса. На данный момент в компаниях, использующих SecurIT Zgate применяются внешние системы построения аналитики. Остаётся лишь пожелать компании SecurIT и далее всемерно развивать и совершенствовать SecurIT Zgate. В будущем хотелось бы видеть этот продукт и для Unix-систем с поддержкой PostgreSQL.

 

 

Продукт получает награду Approved by Anti-Malware.ru

 


Новый функционал
Отмена

												
														
																				
							
							
							
							
в формате +7 (987) 654-32-10
обзор удалить