Archive | July 2015

Вышел McAfee DLP Endpoint 9.4

«Первое правило бизнеса — защищайте свои инвестиции», — этикет банкира, 1775 г.

29-го июля состоялся релиз новой версии решения Intel Security (McAfee) для защиты от утечек на уровне серверов и рабочих станций. Следует сразу отметить, что новая версия DLP Endpoint 9.4 несет в себе глобальные изменения функционала, которые были реализованы вендором в ответ на пожелания заказчиков.

Из-за цейтнота обзор будет разбит на две части. Эта заметка несет описательный характер. Аспекты практического применения будут рассмотрены в следующей части.

Важно!

Заказчики, которые уже используют предыдущие версии DLP Endpoint должны учитывать следующие моменты (согласно KB85283)

a) в рамках одной консоли еРО допускается сосуществование новой версии (9.4) и предыдущих (9.3.х), однако для стабильной работы обоих модулей строго рекомендуется перед установкой 9.4 обновить существующую версию до 9.3.500 (patch 5);

б) на текущий момент версия 9.4 не предполагает конвертацию существующих политик и произошедших инцидентов. Возможность миграции текущих инцидентов и политик со старых версий будет добавлена в 9.4 с выходом patch 1, появление которого ожидается в сентябре текущего года.

Таким образом, заказчики могут уже сейчас добавить в свои консоли еРО новую версию DLP Endpoint и она будет функционировать отдельно от существующих (9.3.х), а конвертация данных собранных ранними версиями будет доступна с выходом первого патча.

# # #

И так, что же изменилось с выходом DLP Endpoint 9.4?

1. ИНТЕРФЕЙС

  • Менеджер политик DLP избавился от Acvtive-X зависимостей и был интегрирован в HTML оболочку еРО. Это означает, что больше нет необходимости в установке DLP Management Tools, а сами политики теперь можно редактировать в любом браузере (а не только в IE). Выскажу свое личное мнение: это большой шаг навстречу упрощению администрирования и унификации управления. Фактически, изменение в работе с политиками позволят операторам еРО эффективнее организовывать работу с политиками/инцидентами.

dlp_old dlp94_24Сравнение работы с правилами DLP 9.3 vs 9.4

  • Правила DLP теперь разбиты на три категории: Data Protection, Device Control, Discovery. Такое разделение позволяет избежать необходимость прокрутки длинного списка и упрощает работу с большим количеством правил.

dlp94_tab1 dlp94_tab2 dlp94_tab3 Разбивка правил по категориям

  • Сами правила объединяются в т.н. Rule Set, из которых уже набирается текущая версия политики. За счет изменения механизма работы с политиками появилась возможность развертывания разных политик на отдельные системы или группы систем в еРО.
  • Появились заготовки предустановленных правил (~20), которые могут служить отличными примерами для начинающих пользователей.

dlp94_rule_setsПредустановленные заготовки правил

  • Уведомления и запрос обоснования стали полностью кастомизируемыми – можно редактировать кнопки, текст и реакцию на их нажатие.

2. ПРАВИЛА ЗАЩИТЫ

  • Правило защиты публикации в Internet кроме IE и FF теперь поддерживает отслеживание Google Chrome (версии 37 – 44, по мере обновления ПО для DLP будут выходить сигнатуры). Это еще один ключевой момент, на котором настаивали заказчики. Теперь, при использовании DLP Endpoint 9.4 контроль браузеров Chrome осуществляется через плагин, что не требует костыля из пары (Контроль буфера обмена + Контроль сетевых соединений). Это повышает защиту, т.к. “родное” (native) правило Web Post Protection позволяет отслеживать не только файлы с метками, но и текстовые шаблоны и совпадения по цифровым отпечаткам.

dlp94_18Появился перехватчик Google Chrome

  • Правило отслеживания доступа к конфиденциальным данным со стороны указанных приложений обзавелось функцией блокировки. Теперь можно легко заблокировать доступ того-же Skype либо TeamViewer к важным документам за счет одного правила.

dlp94_app1 dlp94_app2Процесс настройки правила

  • Правило контроля облачных сервисов (DropBox, OneDrive, GoogleDrive, Syncplicity, Box) которое появилось еще год назад, теперь может не только отслеживать но и блокировать передачу важных данных в облако.

dlp94_cloud1 dlp94_cloud2Правило отслеживания облачных хранилищ

  • Реакция правил может быть разной в зависимости от online/offline состояния конечной точки – это было и раньше. 9.4 добавляет третий вариант – кастомизацию реакции при подключении по VPN (пока доступно для правил отслеживания печати, сетевых соединений и PnP устройств).

dlp94_vpn1 dlp94_vpn2Реакция правила может быть другой при подключении по VPN

  • В новой версии был улучшен механизм обработки службы печати с целью поддержки V4 Printer Driver. Контроль XPS/PDF теперь являются частью правила отслеживания печати.
  • Для мобильных устройств Apple (iPhone 4 и выше) при блокировке правилом отслеживания PnP разрешается зарядка устройства.
  • Правило отслеживания внешних накопителей обзавелось возможностью исключать отдельные приложения по имени процесса.

3. КЛАССИФИКАЦИЯ

  • Были внесены изменения в механизмы классификации. Прежде всего они коснулись словосочетаний, паттернов и расстоянию между слов из словарей.

dlp94_classificationПараметры классификации

# # #

Как можно судить по списку, команда разработчиков Intel Security проделала отличную работу чтобы решение шло в ногу со временем и обеспечивало достойный уровень контроля действий сотрудников. В следующей части я рассмотрю практические аспекты использования DLP Endpoint 9.4 в сравнении с 9.3.х

ВИДЕО

Гайд из цикла “взлет-посадка”. Рассмотрена установка и начальная работа с политиками DLP Endpoint 9.4.

Как говориться, оцените user experience:

ps

Более детально с перечнем изменений можно ознакомиться из Release Notes.

Будьте осторожны при использовании высоких технологий. Защищайте свои инвестиции с помощью решений Intel Security.

Vladislav Radetskiy | Technical Lead | BAKOTECH GROUP