Русская Википедия:Zgate
Zecurion Zgate — программное обеспечение для контроля сетевого трафика для предотвращения утечек (кражи, потери, случайной пересылки) конфиденциальной информации. Zgate относится к семейству IPC/ DLP-систем и позволяет контролировать SMTP-, HTTP-, HTTPS-, FTP- и другой интернет-трафик. Для поиска и блокировки передачи конфиденциальных данных в Zgate используются различные технологии детектирования: сигнатуры, лингвистический анализ, регулярные выражения, метод Байеса, «цифровые отпечатки» и собственные.
Zgate позволяет контролировать
- Переписку в корпоративной электронной почте.
- Письма, отсылаемые через сервисы веб-почты.
- Сообщения интернет-мессенджеров.
- Общение в социальных сетях, на форумах и блогах.
- Файлы, передаваемые по FTP.
Протоколы
- HTTP;
- HTTPS;
- FTP;
- FTP-over-HTTP;
- SMTP;
- ESMTP;
- OSCAR (ICQ);
- XMPP (Jabber);
- Mail.ru Агент;
- Yahoo! Messenger;
- Windows Live Messenger (MSN Messenger);
- AOL Instant Messenger.
Основные возможности Zgate
- Фильтрация входящего, исходящего и внутреннего трафика.
- Совместимость с любой почтовой системой (MTA), работающей по протоколу SMTP: Microsoft Exchange Server, IBM Lotus Domino, Kerio MailServer, Communigate Pro, Sendmail, Postfix и др.
- Работа как в режиме активной фильтрации данных, так и в режиме анализа зеркалированного трафика для архивирования и мониторинга сетевой активности.
- Гибкие политики проверки, блокировки и архивирования данных с возможностью настройки до 30 параметров.
- Применение политик в зависимости от времени передачи, направления трафика и местоположения пользователей.
- Контентный анализ передаваемых сообщений и файлов с помощью любой комбинации методов автоматической категоризации.
- Поддержка более 100 форматов файлов для анализа их структуры и содержимого, а также анализ архивов заданного уровня вложенности.
- Удобные инструменты для управления словарями, описывающими различные категории документов.
- Возможность ручной проверки подозрительных сообщений и файлов.
- Анализ прикреплённых к сообщениям файлов и специальные политики для зашифрованных вложений (RAR, ZIP, DOC, DOCX, XLS, XLSX, PDF, ODB, ODF, ODG).
- Модификация сообщений и возможность уведомления пользователей о результатах фильтрации.
- Интеграция со сторонними приложениями для дополнительной обработки антивирусами и системами борьбы со спамом.
- Возможность ведения полного архива передаваемых данных, включая файлы-вложения, в Microsoft SQL Server или Oracle Database.
- Масштабируемость и модульная архитектура, позволяющая учесть самые жесткие требования к производительности.
- Установка и управление через единую консоль для всех продуктов SECURIT.
- Широкие возможности для разделения ролей администраторов.
- Поддержка импорта статистической информации в различные конструкторы отчётов, например, Crystal Reports или FastReport.
Используемые технологии детектирования
Сигнатуры
Самый простой метод контроля — поиск в потоке данных некоторой последовательности символов. Иногда запрещенную последовательность символов называют «стоп-выражением», но в более общем случае она может быть представлена не словом, а произвольным набором символов, например, определенной меткой.
Регулярные выражения
Поиск по регулярным выражениям («маскам», основанными на REGEXP) является также давно известным способом детектирования необходимого содержимого, однако в DLP-системах стал применяться относительно недавно. Регулярные выражения позволяют находить совпадения по форме данных, в нём нельзя точно указать точное значение данных, в отличие от «сигнатур». Такой метод детектирования эффективен для поиска:
- ИНН,
- КПП,
- номеров счетов,
- номеров кредитных карт,
- номеров телефонов,
- номеров паспортов,
- клиентских номеров.
Поиск по «маскам» позволяется обеспечивать соответствие требованиям все более популярного стандарта PCI DSS, разработанного международными платежными системами Visa и MasterCard для финансовых организаций.
«Цифровые отпечатки» (Digital Fingerprints)
Суть работы «цифровых отпечатков» довольно проста и часто этим и привлекает — IPC-системе передается некий стандартный документ-шаблон, из него создаётся «цифровой отпечаток» и записывается в базу данных «цифровых отпечатков». Далее в правилах контентной фильтрации настраивается процентное соответствие шаблону из базы. Например, если настроить 75 % соответствие «цифровому отпечатку» договора поставки, то при контентной фильтрации система обнаружит практически все договоры с изменениями в несколько абзацев (то есть не более 25 % от всего объёма текста).
Лингвистические методы (морфология, стемминг)
Самым распространенным на сегодняшний день методом анализа в IPC-системах является лингвистический анализ текста. Он настолько популярен, что часто именно он в просторечье именуется «контентной фильтрацией», то есть несёт на себе характеристику всего класса методов анализа содержимого. Лингвистика как наука состоит из многих дисциплин — от морфологии до семантики, и лингвистические методы анализа различаются между собой. Есть в лингвистических методах и свои отпечатки, базирующиеся на статистике; например, берется документ, считаются пятьдесят самых употребляемых слов, затем выбирается по 10 самых употребляемых из них в каждом абзаце. Такой «словарь» представляет собой практически уникальную характеристику текста и позволяет находить в «клонах» значащие цитаты.
Метод Байеса
Искусственный интеллект — метод, используемый в большинстве систем для борьбы со спамом, работает по принципу определения вероятности принадлежности того или иного документа к категории конфиденциальных. Отличительной особенностью метода Байеса является возможность самообучения, которая существенно расширяет сферу его применения. Точность работы по разным оценкам составляет до 97 %.
Ручная проверка («карантин»)
Любая информация, которая попадает под правила ручной проверки, например, в ней встречается слово «ключ», попадает в консоль специалиста информационной безопасности. Последний по очереди вручную просматривает такую информацию и принимает решение о пропуске, блокировке или задержке данных.
Дополнительно
- Статья в BYTE/Россия: Система контроля и архивирования почты Zgate 1.2 [1].
- Статья в «CIO: руководитель информационной службы»: Практика выбора IPC для защиты от внутренних угроз [2].
- Статья на портале Anti-Malware.ru «Обзор SecurIT Zgate (часть I)» [3].
- Статья на портале Anti-Malware.ru «Обзор SecurIT Zgate (часть II)» [4].
- Статья на портале Anti-Malware.ru «Обзор новых возможностей SecurIT Zgate 3.0» [5].
- Статья на портале Anti-Malware.ru «Zecurion Zgate 4.0 – обзор новых возможностей» [6].
См. также
- Zlock — защита от утечек на конечных точках сети (USB, COM, LPT, Bluetooth, CD, DVD, локальные и сетевые принтеры).
- Information Protection and Control;
- Data Loss Prevention;
- Морфология;
- Фильтрация электронной почты;
- Персональные данные
- Байесовская фильтрация спама
- Информационная безопасность
Ссылки