Zecurion Zgate — программное обеспечение для контроля сетевого трафика для предотвращения утечек (кражи, потери, случайной пересылки) конфиденциальной информации. Zgate относится к семейству IPC/ DLP-систем и позволяет контролировать SMTP-, HTTP-, HTTPS-, FTP- и другой интернет-трафик. Для поиска и блокировки передачи конфиденциальных данных в Zgate используются различные технологии детектирования: сигнатуры, лингвистический анализ, регулярные выражения, метод Байеса, «цифровые отпечатки» и собственные.

Zecurion Zgate
Тип IPC, DLP
Разработчик SecurIT
Операционная система Windows
Последняя версия 4.0 (4 декабря 2012)
Лицензия Проприетарное ПО
Сайт zecurion.ru/products/zga…

Zgate позволяет контролировать

править
  • Переписку в корпоративной электронной почте.
  • Письма, отсылаемые через сервисы веб-почты.
  • Сообщения интернет-мессенджеров.
  • Общение в социальных сетях, на форумах и блогах.
  • Файлы, передаваемые по FTP.

Протоколы

править

Основные возможности Zgate

править
  • Фильтрация входящего, исходящего и внутреннего трафика.
  • Совместимость с любой почтовой системой (MTA), работающей по протоколу SMTP: Microsoft Exchange Server, IBM Lotus Domino, Kerio MailServer, Communigate Pro, Sendmail, Postfix и др.
  • Работа как в режиме активной фильтрации данных, так и в режиме анализа зеркалированного трафика для архивирования и мониторинга сетевой активности.
  • Гибкие политики проверки, блокировки и архивирования данных с возможностью настройки до 30 параметров.
  • Применение политик в зависимости от времени передачи, направления трафика и местоположения пользователей.
  • Контентный анализ передаваемых сообщений и файлов с помощью любой комбинации методов автоматической категоризации.
  • Поддержка более 100 форматов файлов для анализа их структуры и содержимого, а также анализ архивов заданного уровня вложенности.
  • Удобные инструменты для управления словарями, описывающими различные категории документов.
  • Возможность ручной проверки подозрительных сообщений и файлов.
  • Анализ прикреплённых к сообщениям файлов и специальные политики для зашифрованных вложений (RAR, ZIP, DOC, DOCX, XLS, XLSX, PDF, ODB, ODF, ODG).
  • Модификация сообщений и возможность уведомления пользователей о результатах фильтрации.
  • Интеграция со сторонними приложениями для дополнительной обработки антивирусами и системами борьбы со спамом.
  • Возможность ведения полного архива передаваемых данных, включая файлы-вложения, в Microsoft SQL Server или Oracle Database.
  • Масштабируемость и модульная архитектура, позволяющая учесть самые жесткие требования к производительности.
  • Установка и управление через единую консоль для всех продуктов SECURIT.
  • Широкие возможности для разделения ролей администраторов.
  • Поддержка импорта статистической информации в различные конструкторы отчётов, например, Crystal Reports или FastReport.

Используемые технологии детектирования

править

Сигнатуры

править

Самый простой метод контроля — поиск в потоке данных некоторой последовательности символов. Иногда запрещенную последовательность символов называют «стоп-выражением», но в более общем случае она может быть представлена не словом, а произвольным набором символов, например, определенной меткой.

Регулярные выражения

править

Поиск по регулярным выражениям («маскам», основанными на REGEXP) является также давно известным способом детектирования необходимого содержимого, однако в DLP-системах стал применяться относительно недавно. Регулярные выражения позволяют находить совпадения по форме данных, в нём нельзя точно указать точное значение данных, в отличие от «сигнатур». Такой метод детектирования эффективен для поиска:

  • ИНН,
  • КПП,
  • номеров счетов,
  • номеров кредитных карт,
  • номеров телефонов,
  • номеров паспортов,
  • клиентских номеров.

Поиск по «маскам» позволяется обеспечивать соответствие требованиям все более популярного стандарта PCI DSS, разработанного международными платежными системами Visa и MasterCard для финансовых организаций.

«Цифровые отпечатки» (Digital Fingerprints)

править

Суть работы «цифровых отпечатков» довольно проста и часто этим и привлекает — IPC-системе передается некий стандартный документ-шаблон, из него создаётся «цифровой отпечаток» и записывается в базу данных «цифровых отпечатков». Далее в правилах контентной фильтрации настраивается процентное соответствие шаблону из базы. Например, если настроить 75 % соответствие «цифровому отпечатку» договора поставки, то при контентной фильтрации система обнаружит практически все договоры с изменениями в несколько абзацев (то есть не более 25 % от всего объёма текста).

Лингвистические методы (морфология, стемминг)

править

Самым распространенным на сегодняшний день методом анализа в IPC-системах является лингвистический анализ текста. Он настолько популярен, что часто именно он в просторечье именуется «контентной фильтрацией», то есть несёт на себе характеристику всего класса методов анализа содержимого. Лингвистика как наука состоит из многих дисциплин — от морфологии до семантики, и лингвистические методы анализа различаются между собой. Есть в лингвистических методах и свои отпечатки, базирующиеся на статистике; например, берется документ, считаются пятьдесят самых употребляемых слов, затем выбирается по 10 самых употребляемых из них в каждом абзаце. Такой «словарь» представляет собой практически уникальную характеристику текста и позволяет находить в «клонах» значащие цитаты.

Метод Байеса

править

Искусственный интеллект — метод, используемый в большинстве систем для борьбы со спамом, работает по принципу определения вероятности принадлежности того или иного документа к категории конфиденциальных. Отличительной особенностью метода Байеса является возможность самообучения, которая существенно расширяет сферу его применения. Точность работы по разным оценкам составляет до 97 %.

Ручная проверка («карантин»)

править

Любая информация, которая попадает под правила ручной проверки, например, в ней встречается слово «ключ», попадает в консоль специалиста информационной безопасности. Последний по очереди вручную просматривает такую информацию и принимает решение о пропуске, блокировке или задержке данных.

Дополнительно

править
  • Статья в BYTE/Россия: Система контроля и архивирования почты Zgate 1.2 [1].
  • Статья в «CIO: руководитель информационной службы»: Практика выбора IPC для защиты от внутренних угроз [2].
  • Статья на портале Anti-Malware.ru «Обзор SecurIT Zgate (часть I)» [3].
  • Статья на портале Anti-Malware.ru «Обзор SecurIT Zgate (часть II)» [4].
  • Статья на портале Anti-Malware.ru «Обзор новых возможностей SecurIT Zgate 3.0» [5].
  • Статья на портале Anti-Malware.ru «Zecurion Zgate 4.0 – обзор новых возможностей» [6].

См. также

править

Ссылки

править