Вышел McAfee DLP 10.0

dlp10

– Слишком много? – переспросил Румата.
– Мне не знакомо это  слово  – “слишком”.

6-го июля состоялся релиз 10-й версии модуля DLP Endpoint. На первый взгляд может показаться, что новая версия практически не отличается от 9.4, однако как известно “дьявол кроется в мелочах“. Само-собой таких глобальных изменений как в прошлом году (переход 9.3 -> 9.4) не ожидалось, однако разработчики нашли способ удивить, а местами порадовать заказчиков. Давайте обо всем по порядку:

1. Классификация

manual classification

Функционал меток (tag) был расширен за счет предоставления возможности классификации содержимого документа самим сотрудникам компании т.н. Manual Classification. Т.е. кроме автоматических правил назначения меток по определенным условиям (см. слайды 32-33 моей презентации), теперь можно дать право отдельной группе сотрудников классифицировать содержимое документов в ручном режиме. Раньше такая задача решалась с помощью привлечения модуля классификации TITUS, а теперь это можно реализовать встроенными средствами. Для приложений MS Office данная функция реализована через подключаемый модуль (пример на снимке экрана выше), для других поддерживаемых файлов классификация в ручном режиме осуществляется через контекстное меню.

ePO_classification

Между автоматической классификацией и классификацией вручную есть разница. Если файл получает свою метку по автоматическому правилу (Appplication/Location/Web), то DLP агент проверят сопоставление метки каждый раз, когда регистрирует обращение к файлу. Когда сотрудник осуществляет классификацию документа/письма DLP агент встраивает маркер в сам файл, а к электронному письму добавляется x-header. Встраиваемые маркеры, которые добавляются к файлам при ручной классификации позволяют подключать сторонние решения для отслеживания документов помеченных с помощью McAfee DLP Endpoint.

От себя добавлю, что функция реально полезная и удобная, т.к. теперь заказчикам не нужно идти на компромисс и “светить” пользователям метки через диалог назначения. Метки по прежнему остаются удобным методом автоматической классификации информации в тех случаях, когда есть возможность описать источник генерации файла. А для тех документов, которые создают сами пользователи можно применять Manual Classification. Более того, можно активировать режим принудительной классификации, т.е. при сохранение документа пользователь должен будет обязательно указать к какой категории он относиться:

force_classificationforce_classification2

2. Функционал

Первое на что обратят внимание опытные заказчики/пользователи McAfee DLP – установка либо обновление до 10-й версии теперь не требуют перезагрузки операционной системы. Да, это действительно работает и правила защиты активируются сразу. Однако стоит помнить, что изменение конфигурации уже развернутых клиентов по части активации/деактивации определенных модулей-перехватчиков может потребовать перезагрузки.

Изменения коснулись операций поиска конфиденциальной информации (т.н. Endpoint Discovery) – теперь пользователю можно дать право запускать сканирование и выполнять действия согласно политикам:

DLP_discovery_user

Из прочих изменений стоит выделить поддержку 64-х битных версий Firefox, поддержку Device Guard для Windows 10, интеграцию с AD RMS Client 2.1 и расширенную настройку Web Protection по инспекции запросов браузера:

Web Protection

Так же был существенно расширен функционал DLP Endpoint для Mac OS. Как могут помнить опытные пользователи, долгое время версия для фанатов творчества уважаемого мной Стива Джобса, ограничивалась только возможностью мониторинга/блокировки внешних накопителей. Наконец-то разработчики обратили свое внимание на владельцев MacBook и добавили следующие правила:

  • Removable Storage Protection;
  • Network Share Protection;
  • Application File Access Protection.

Фактически, операторы DLP Endpoint получили возможность отслеживать/блокировать документы, которые пользователь копирует с Mac OS на USB носители; возможность отслеживать/запрашивать обоснование при операциях на сетевых ресурсах и последнее по списку, но не по значению – возможность блокировать доступ запущенных приложений Apple к документам, которые помечены как конфиденциальные. А если учесть, что версия DLP Endpoint для Mac понимает классификацию, которая была определена в ручном режиме на Windows системах получается очень не плохо. Это не большой шаг, но по сравнению с 9.4 заказчики получают больше возможностей контролировать как их сотрудники распоряжаются информацией на Mac OS устройствах.

Также для правил защиты на Mac OS появилась возможность использовать исключения для устройств/пользователей, а также выбирать разный тип реакции на инцидент в зависимости от сетевого подключения (Online/Offline/VPN).

3. Интерфейс

Был внесен ряд изменений как в работу с политиками так и по части обработки инцидентов. Из основных стоит отметить такие:

  • настройки клиента для Windows и Mac OS были разнесены;
  • правила, которые поддерживаются и для Win и Mac получили выборочную активацию;
  • набор разрешений теперь позволяет контролировать к настройкам какой группы правил будет иметь тот или иной пользователь еРО;
  • возможность экспорта списка инцидентов вместе с теневыми копиями..

permission_setspoliciesrule_usb1# # #

Предварительные впечатления от новой версии весьма положительные. Улучшения механизмов классификации, расширение функционала на Mac OS и упрощение рутинных операций явно не оставят заказчиков безразличными. В следующей публикации я постараюсь рассмотреть особенности использования DLP Endpoint совместно с FRP и DLP Discover.

Более детально нововведения описаны в заметках к релизу (PD26582).

Будьте осторожны при использовании высоких технологий. Обращайтесь к нам чтобы защитить свои цифровые активы.

Vladislav Radetskiy | Technical Lead | BAKOTECH GROUP

Tags: , , , , , , , , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: