Top menu

DeviceLock Discovery — поиск и обнаружение конфиденциальной информации

DeviceLock Discovery обнаруживает информацию ограниченного доступа

DeviceLock Discovery — автономный продукт в составе программного комплекса DeviceLock DLP Suite, который позволяет организациям проактивно предотвращать утечки данных ограниченного доступа, хранимых в ИТ-инфраструктуре организации (data at rest), для обеспечения соответствия уровня информационной безопасности корпоративным стандартам безопасности и требованиям регуляторов.

Сканируя содержимое данных, хранимых на персональных компьютерах, файловых серверах и общедоступных сетевых ресурсах в ИТ-инфраструктуре организации, DeviceLock Discovery обнаруживает незащищенные документы и файлы с конфиденциальной информацией и устраняет выявленные нарушения корпоративной политики безопасного хранения данных при помощи задаваемого администратором набора автоматических корректирующих действий, а также отправки оперативных тревожных оповещений персоналу служб ИБ и в используемые в организации SIEM-системы.

В зависимости от топологии локальной сети и других специфических особенностей защищаемой ИТ-среды, DeviceLock Discovery может выполнять сканирование в нескольких режимах: с использованием резидентных агентов, удаленное серверное сканирование (без агентов), а также смешанный режим с использованием как сервера, так и агентов.

DeviceLock Discovery cканирует содержимое файлов, обнаруживает незащищенные документы с конфиденциальной информацией и устраняет выявленные нарушения

Сканирование может быть инициировано администратором вручную или автоматически сервером DeviceLock Discovery в соответствии с заданным расписанием. Агенты DeviceLock Discovery устанавливаются и удаляются с целевых компьютеров сервером DeviceLock Discovery автоматически и незаметно для пользователей. На компьютерах с установленными DLP-агентами DeviceLock Endpoint DLP Suite функция сканирования реализуется встроенным агентским модулем.

Проверка содержимого

DeviceLock Discovery позволяет инспектировать текстовые и бинарные данные, а также метаданные документов и другие типы данных.

Для обнаружения структурированного текстового содержимого DeviceLock Discovery применяет такие технологии контентного анализа, как поиск по ключевым словам и словарям, по целым словам или частичному совпадению; поиск по встроенным комплексным шаблонам регулярных выражений; анализ по цифровым отпечаткам (с частичным или полным соответствием с заданным образцом) с поддержкой классификации образцов. Продукт поставляется со встроенными промышленными и геоспецифичными терминологическими словарями (более 160), предопределенными шаблонами регулярных выражений (более 90) для наиболее распространенных видов конфиденциальной информации, таких как номера паспортов, кредитных карт, транспортных средств и банковских счетов, адреса, и др. Кроме того, реализована возможность разработки собственных словарей и шаблонов, а также модификации встроенных. Точность детектирования контента повышается за счет использования морфологического анализа словоформ заданных ключевых слов на русском, английском и других языках, а также поддержке транслитерации для русского языка. DeviceLock Discovery инспектирует текстовые данные в файлах более чем 100 форматов, а также в архивах более чем 40 типов, в том числе вложенных.

Для детектирования неструктурированных текстовых и бинарных данных в DeviceLock Discovery применяется технология цифровых отпечатков, позволяющая надежно идентифицировать классифицированные файлы по их содержимому с учетом заданных уровней классификации («Секретно», «Конфиденциально», «ДСП» и т.п.). Данная технология основана на сравнении коротких буквенно-цифровых хэшей инспектируемых документов и файлов, также называемых цифровыми отпечатками или фингерпринтами, с хэшами, хранимыми в коллекции (базе данных) цифровых отпечатков. Это позволяет однозначно идентифицировать содержимое документов или файлов целиком, так и выявить их частичное соответствие, например, после изменения оригинального документа, или обнаружить наличие в документе заданного содержимого как части документа. Таким образом, цифровые отпечатки дают возможность надежно идентифицировать классифицированные файлы по их содержимому, несмотря на возможные искажения и изменения, вызванные добавлением несущественной информации или «шумов», таких как отдельные символы, незначащие слова и т.д. База данных цифровых отпечатков формируется вручную либо наполняется автоматически при обработке образцов конфиденциальных документов, помещенных в папки соответствующих уровней классификации. Существует пять предопределенных уровней классификации, также возможно добавлять или определять свои собственные категории.

Определение реального типа файла – еще один способ инспекции данных, используемый DeviceLock Discovery как отдельно, так и в сочетании с проверкой их текстового содержимого и сравнением с образцами цифровых отпечатков. Определение типов файлов не зависит от расширений и основано бинарно-сигнатурном методе, поддерживающем распознавание более 5300 типов файлов.

DeviceLock Discovery обнаруживает документы с критическим содержимым

Кроме того, DeviceLock Discovery позволяет инспектировать и использовать в качестве критериев для обнаружения метаданные и расширенные свойства файлов и документов, а также распознавать и использовать метки классификации, назначенные документам и файлам классификатором Boldon James.

В дополнение к методам инспекции данных в текстовых объектах и файлах, подсистема оптического распознавания символов (OCR) в составе DeviceLock Discovery позволяет агентам и серверу DeviceLock Discovery извлекать и проверять текстовое содержимое из изображений, содержащихся в документах и графических файлах более 30 форматов. Благодаря распознаванию более 30 языков в сочетании с поддержкой встроенных промышленных словарей и регулярных выражений, высокоэффективный OCR-модуль обеспечивает DeviceLock Discovery возможность обнаруживать и контролировать конфиденциальные данные, представленные в графической форме, предотвращая их утечку. Реализованная в DeviceLock Discovery распределенная архитектура подсистемы OCR значительно повышает производительность решения, поскольку графические объекты, хранимые на рабочих станциях пользователей, инспектируются локально резидентными OCR-модулями, встроенными в агенты DeviceLock Discovery и DeviceLock DLP, что позволяет кардинально снизить нагрузку на сервер DeviceLock Discovery и уменьшить сетевой трафик в корпоративной сети.

Действия по устранению нарушений

В случае обнаружения конфиденциальных данных в сканируемом файле DeviceLock Discovery может инициировать автоматическое выполнение следующих типов предопределенных действий по устранению выявленных нарушений корпоративной политики хранения данных:

  • Удаление
  • Гарантированное удаление
  • Удаление контейнера (если нарушение выявлено в файле внутри контейнера или архива)
  • Задание прав доступа (только для файловой системы NTFS)
  • Протоколирование
  • Тревожное оповещение администратора
  • Оповещение локального пользователя
  • Шифрование (только с использованием EFS в файловой системе NTFS)