Zecurion Zgate

SECURIT Zgate — программное обеспечение для контроля сетевого трафика для предотвращения утечек (кражи, потери, случайной пересылки) конфиденциальной информации. Zgate относится к семейству Information Protection and Control/ DLP-систем и позволяет контролировать SMTP-, HTTP-, HTTPS-, FTP- и другой интернет-трафик. Для поиска и блокировки передачи конфиденциальных данных в Zgate используются различные технологии детектирования: сигнатуры, лингвистический анализ, регулярные выражения, метод Байеса, «цифровые отпечатки».

Zgate позволяет контролировать

• Переписку в корпоративной электронной почте.
• Письма, отсылаемые через сервисы веб-почты.
• Сообщения интернет-мессенджеров.
• Общение в социальных сетях, на форумах и блогах.
• Файлы, передаваемые по FTP.

Протоколы:

• HTTP;
• HTTPS;
• FTP;
• FTP-over-HTTP;
• SMTP;
• ESMTP;
• OSCAR (ICQ);
• XMPP (Jabber);
• Mail.ru Агент;
• Yahoo! Messenger;
• Windows Live Messenger (MSN Messenger);
• AOL Instant Messenger.

Основные возможности Zgate

• Фильтрация входящего, исходящего и внутреннего трафика.
• Совместимость с любой почтовой системой (MTA), работающей по протоколу SMTP: Microsoft Exchange Server, IBM Lotus Domino, Kerio MailServer, Communigate Pro, Sendmail, Postfix и др.
• Работа как в режиме активной фильтрации данных, так и в режиме анализа зеркалированного трафика для архивирования и мониторинга сетевой активности.
• Гибкие политики проверки, блокировки и архивирования данных с возможностью настройки до 30 параметров.
• Применение политик в зависимости от времени передачи, направления трафика и местоположения пользователей.
• Контентный анализ передаваемых сообщений и файлов с помощью любой комбинации методов автоматической категоризации.
• Поддержка более 100 форматов файлов для анализа их структуры и содержимого, а также анализ архивов заданного уровня вложенности.
• Удобные инструменты для управления словарями, описывающими различные категории документов.
• Возможность ручной проверки подозрительных сообщений и файлов.
• Анализ прикрепленных к сообщениям файлов и специальные политики для зашифрованных вложений ((RAR, ZIP, DOC, DOCX, XLS, XLSX, PDF, ODB, ODF, ODG).
• Модификация сообщений и возможность уведомления пользователей о результатах фильтрации.
• Интеграция со сторонними приложениями для дополнительной обработки антивирусами и системами борьбы со спамом.
• Возможность ведения полного архива передаваемых данных, включая файлы-вложения, в Microsoft SQL Server или Oracle Database.
• Масштабируемость и модульная архитектура, позволяющая учесть самые жесткие требования к производительности.
• Установка и управление через единую консоль для всех продуктов SECURIT.
• Широкие возможности для разделения ролей администраторов.
• Поддержка импорта статистической информации в различные конструкторы отчётов, например, Crystal Reports или FastReport.

Используемые технологии детектирования

Сигнатуры

Самый простой метод контроля — поиск в потоке данных некоторой последовательности символов. Иногда запрещенную последовательность символов называют «стоп-выражением», но в более общем случае она может быть представлена не словом, а произвольным набором символов, например, определенной меткой.

Регулярные выражения

Поиск по регулярным выражениям («маскам», основанными на REGEXP) является также давно известным способом детектирования необходимого содержимого, однако в DLP-системах стал применяться относительно недавно. Регулярные выражения позволяют находить совпадения по форме данных, в нем нельзя точно указать точное значение данных, в отличие от «сигнатур». Такой метод детектирования эффективен для поиска:

• ИНН,
• КПП,
• номеров счетов,
• номеров кредитных карт,
• номеров телефонов,
• номеров паспортов,
• клиентских номеров.

Поиск по «маскам» позволяется обеспечивать соответствие требованиям все более популярного стандарта PCI DSS, разработанного международными платежными системами Visa и MasterCard для финансовых организаций.

«Цифровые отпечатки» (Digital Fingerprints)

Суть работы «цифровых отпечатков» довольно проста и часто этим и привлекает — IPC-системе передается некий стандартный документ-шаблон, из него создается «цифровой отпечаток» и записывается в базу данных «цифровых отпечатков». Далее в правилах контентной фильтрации настраивается процентное соответствие шаблону из базы. Например, если настроить 75 % соответствие «цифровому отпечатку» договора поставки, то при контентной фильтрации система обнаружит практически все договоры с изменениями в несколько абзацев (то есть не более 25 % от всего объема текста).

Лингвистические методы (морфология, стемминг)

Самым распространенным на сегодняшний день методом анализа в IPC-системах является лингвистический анализ текста. Он настолько популярен, что часто именно он в просторечье именуется «контентной фильтрацией», то есть несет на себе характеристику всего класса методов анализа содержимого. Лингвистика как наука состоит из многих дисциплин — от морфологии до семантики, и лингвистические методы анализа различаются между собой. Есть в лингвистических методах и свои отпечатки, базирующиеся на статистике; например, берется документ, считаются пятьдесят самых употребляемых слов, затем выбирается по 10 самых употребляемых из них в каждом абзаце. Такой «словарь» представляет собой практически уникальную характеристику текста и позволяет находить в «клонах» значащие цитаты.

Метод Байеса

Искуственный интеллект — метод, используемый в большинстве систем для борьбы со спамом, работает по принципу определения вероятности принадлежности того или иного документа к категории конфиденциальных. Отличительной особенностью метода Байеса является возможность самообучения, которая существенно расширяет сферу его применения. Точность работы по разным оценкам составляет до 97 %.

Ручная проверка («карантин»)

Любая информация, которая попадает под правила ручной проверки, например, в ней встречается слово «ключ», попадает в консоль специалиста информационной безопасности. Последний по очереди в ручную просматривает такую информацию и принимает решение о пропуске, блокировке или задержке данных.

2015

Взаимная интеграция с PT Application Firewall

13 апреля 2015 года компания Zecurion сообщила о взаимной интеграции DLP-систем Zecurion Zgate (Traffic Control) и межсетевого экрана прикладного уровня PT Application Firewall от компании Positive Technologies.

Вендоры выразили уверенность в повышении эффективности создаваемых систем информационной безопасности бизнеса в свете полноценной совместимости двух продуктов одного класса.Догнать и перегнать: Российские ВКС прирастают новыми функциями 6.8 т

Алгоритм взаимодействия

При совместном использовании продуктов Application Firewall получает информацию из системы Zgate о наличии конфиденциальных данных в пересылаемых сообщениях и файлах. Для этого DLP-система проводит анализ полученной информации по заданным правилам фильтрации и с высокой точностью определяет несоответствия политике безопасности, используя более 10 специализированных технологий детектирования. После анализа Zgate генерирует для системы Application Firewall специальное сообщение с информацией о пользователе, секретных данных и сработавшем правиле.

В случае выявления сообщения, нарушающего политики безопасности, межсетевой экран PT AF блокирует передачу информации, и тем самым предотвращает утечку секретных данных.

Посредством механизма выявления атак, действующего на основе анализа аномалий, межсетевой экран прикладного уровня PT Application Firewall обеспечивает защиту от всех распространенных уязвимостей по классификации OWASP и WASC, включая SQLi, XSS и XXE, а также от популярных атак HTTP Request Splitting, Clickjacking и сложных клиентских атак (DOM-based XSS).

Система Application Firewall надежно идентифицирует уязвимости нулевого дня, в том числе ошибки, подобные Heartbleed, Shellshock и GHOST, и блокирует связанные с ними атаки даже без обновления сигнатур. Функция виртуального патчинга дает возможность быстрой настройки защиты, пока команда разработчиков уязвимого приложения трудится над созданием обновления.

Помимо создания экосистемы защиты от утечек информации (Zecurion Zgate) и хакерских атак на веб-приложения (PT Application Firewall), интеграция двух аналитических инструментов помогает реализовать ряд актуальных сценариев использования:

• фильтрация спама в клиентских приложениях,
• контроль доступа к конфиденциальным документам,
• верификация контента на различных корпоративных площадках.

Интеграция систем Zecurion Zgate и PT Application Firewall снижает объем «пустого» трафика, приходящегося на DLP-систему.

Zgate 6.0

В шестой версии появилось сразу несколько нововведений в функционал обнаружения утечек и анализа данных. Теперь Zecurion Zgate умеет создавать цифровые отпечатки баз данных и распознавать фрагменты хранящейся там информации. Можно настроить блокировку писем, которые содержат, например, персональные данные более чем пяти клиентов организации. При этом порядок следования информации, полей и записей не имеет значения. Также в Zecurion Zgate 6.0 появился поиск с учётом звучания слов, что позволит более эффективно анализировать тексты со случайными ошибками или даже с намеренными искажениями.

Модуль отчётности Zecurion Reports пополнился массой готовых шаблонов для различных отраслей. Существенно расширились возможности разграничения доступа к отчётам, а также настройки их автоматической генерации и отправки офицерам безопасности. Дополнительными возможностями Zecurion Zgate стали категоризация интернет-ресурсов по тематике и дальнейшая блокировка доступа к ним в зависимости от политик безопасности.

2014: Zecurion Zgate 5.0

25 ноября 2014 года компания Zecurion представила версию своей флагманской DLP-системы для контроля сетевого трафика Zecurion Zgate (Traffic Control) версии 5.0.

Главные отличия пятой версии — это инновационные технологии анализа данных, которые расширили возможности Zecurion Zgate. Метод опорных векторов SVM так же прост в настройке, как и технология цифровых отпечатков, однако, учитывает большее количество факторов и позволяет ещё точнее определять категорию анализируемых данных. По опыту пилотных внедрений технология SVM оказалась востребована для защиты наиболее важной для организации информации. Ещё одна новая технология ImagePrints, впервые используемая в DLP-системах, обнаруживает документы, содержащие определенные изображения, например, печать организации.

В арсенал технологий Zecurion Zgate (Traffic Control) также была добавлена возможность создавать цифровые отпечатки данных из различных информационных систем и баз данных, в том числе SAP, 1C, SharePoint, Oracle Database и Microsoft SQL Server. Дополнительно в версии 5.0 была улучшена защита от попыток обмануть систему. Теперь Zecurion Zgate успешно определяет замаскированные файлы, например, Word-документ, «склееный» с PDF.

Главным инфраструктурным нововведением Zecurion Zgate 5.0 стало включение в продукт собственного прокси-сервера. Zecurion Zproxy предназначен для перехвата и анализа большинства распространённых протоколов, включая HTTPS, и рассчитан на использование в средних компаниях с 500–1000 активных пользователей или в отдельных сегментах крупных организаций. Дополнительной возможностью Zecurion Zproxy является возможность выборочной блокировки доступа к интернет-ресурсам, например, социальным сетям или новостным сайтам.

«Одним из ключевых векторов развития рынка DLP сейчас является расширение спектра контролируемых каналов и ресурсов. В данной версии Zgate мы добавили полноценную поддержку Outlook Web Access (OWA) и облачных сред, в частности, Microsoft Office 365 и „Облако Mail.Ru`, — говорит Алексей Раевский, генеральный директор Zecurion. — Мы активно развиваем продуктовую линейку в направлении мобильных технологий и средств виртуализации, поддерживаем гармоничное развитие ИТ-инфраструктуры заказчиков и стараемся адекватно отвечать на современные угрозы внутренней безопасности».

2013: Интеграция с Интернет-шлюзом ИКС

1 октября 2013 года пресс-служба Zecurion сообщила: ряд функций Zecurion Zgate стали частью Интернет-шлюза ИКС, разработанного компанией «А-Реал Консалтинг».

В рамках партнерства компании Zecurion и «А-Реал Консалтинг» интегрировали системы защиты информации от утечек Zecurion Zgate и Интернет-шлюза «Интернет Контроль Сервер» (ИКС).

2012

Zecurion Zgate 3.0

В данной версии был существенно расширен перечень контролируемых сетевых каналов. В дополнение к ICQ, «Mail.Ru Агенту», Jabber (XMPP), Google Talks и другим поддерживаемым Zgate интернет-пейджерам добавились MySpaceIM, Microsoft Lync (MicrosoftOffice Communicator) и Skype. Кроме того, в версии 3.0 появилась поддержка почтовых протоколов POP3, IMAP и SMTP, используемых для работы с внешними почтовыми серверами Gmail, Mail.Ru, «Яндекс.Почта» и т. п.

В третьей версии Zgate появилась возможность более тесной интеграции с популярными прокси-серверами — Microsoft Forefront TMG (Microsoft ISA Server), Blue Coat, Cisco ACNS, Squid и любыми другими, поддерживающими протокол ICAP (Internet Content Adaptation Protocol). Zgate 3.0 может перехватывать, анализировать и блокировать HTTP/HTTPS-трафик и сообщения интернет-пейджеров, проходящие через прокси-серверы. Использование Zgate в связке с уже эксплуатируемым прокси-сервером позволит минимизировать вмешательства в существующую сетевую инфраструктуру организации и расходы на внедрение.

Одной из принципиально новых возможностей Zgate 3.0 является контроль поисковых запросов. Zgate осуществляет перехват, архивирование и анализ запросов пользователей, вводимых при поиске через популярные сервисы «Яндекс», Google, Mail.ru, Yahoo, Bing, MSN, Rambler и Nigma. Анализ поисковых запросов позволяет выявить потенциально нелояльных сотрудников еще на ранней стадии и вовремя принять меры по предотвращению потенциальной утечки.

Zecurion Zgate 4.0

В декабре 2012 года компания Zecurion объявила о выпуске новой версии Zecurion Zgate 4.0. Качество инструментария для отчётности и аналитики в новом решении является уникальным для продуктов в области информационной безопасности.

Двустороннее взаимодействие с топ-менеджментом играет ключевую роль в деятельности подразделений по защите информации. Качественные и наглядные отчёты о работе помогают заручиться доверием со стороны руководителей и наглядно продемонстрировать результаты работы. Понимая задачи, стоящие перед службами информационной безопасности, разработчики Zecurion предложили удобные инструменты для их решения. В последней версии Zgate появился уникальный по своим возможностям отчётно-аналитический модуль Zecurion Reports, позволяющий создавать и изучать отчёты с любым уровнем детализации и разной формой представления данных. В частности, в Zecurion Reports возможно создание агрегированных отчётов в наглядной графической форме. Информация может быть представлена в виде различных типов диаграмм или графиков. Графические отчеты являются интерактивными – при клике по диаграмме открывается табличная часть, соответствующая выбранной области.

Графический режим также используется для выявления закономерностей в работе сотрудников. Отклонения от типичных сценариев могут косвенно указывать на нарушения политик безопасности. Таким образом, графические отчёты помогают на ранних стадиях выявлять нарушения и предотвращать возможные утечки информации. По оценкам экспертов Zecurion, новый аналитический модуль позволяет существенно сократить ручной труд при подготовке отчётов и в целом экономит не менее 12-15% рабочего времени офицера безопасности, обслуживающего DLP-систему.

Наиболее интересным с точки зрения офицера безопасности, изучающего деятельность инсайдеров, является режим отчётов типа «Беседа». С помощью отчётов данного типа можно выявить круг общения и связи любого пользователя. В режиме «Беседа» администратор может просмотреть всю переписку конкретного пользователя, осуществляемую по различным каналам связи и с использованием различных учётных записей электронной почты, web-сервисов, служб мгновенных сообщений и т. д. Для удобства все сообщения выбранного пользователя группируются по собеседникам и сортируются по времени отправления.

В новой версии Zecurion Zgate расширены возможности распознавания текста. В частности, теперь модуль распознавания текста работает в любых виртуальных средах, в том числе VMware и Microsoft Hyper-V. Среди других нововведений поддержка популярных фото- и видеохостингов, в том числе YouTube, Picasa, Panoramio, и всех наиболее распространенных кадровых сервисов, в том числе Superjob.ru, HeadHunter, Rabota.ru, Job.ru, Zarplata.ru и других.

Дополнительно

• Статья в BYTE/Россия: Система контроля и архивирования почты Zgate 1.2 [1].
• Статья в «CIO: руководитель информационной службы»: Практика выбора IPC для защиты от внутренних угроз [2].

См. также

• Zlock — защита от утечек на конечных точках сети (USB, COM, LPT, Bluetooth, CD, DVD, локальные и сетевые принтеры).
• Information Protection and Control;
• Data Loss Prevention;
• Морфология;
• Фильтрация электронной почты;
• Персональные данные
• Байесовская фильтрация спама
• Информационная безопасность

Ссылки

• Официальная страница Zgate
• Официальная страница разработчика SECURIT