влений в текстовому вигляді. Центральна консоль управління дозволяє, як раз, і збирати запротокольовані дані на один єдиний комп'ютер і аналізувати їх там. Ось тут-то і виявляються два основних недоліки програми.
По-перше, абсолютно незрозуміло, як у величезному безлічі подій офіцер безпеки зможе виділити ті, які є порушенням політики, призвели до витоку і т.п. Іншими словами, продукт PC Acme не працює з політиками взагалі. Його завдання зводиться лише до того, щоб скласти максимально докладний протокол і приховано передати його на центральний комп'ютер. Зауважимо, що протягом дня одна робоча станція може згенерувати десятки тисяч протоколюються подій, а в корпоративній мережі таких станцій може бути кілька тисяч і навіть більше. Очевидно, що проаналізувати все це власними руками неможливо. Тим часом, вбудовані фільтри подій дозволяють здійснювати лише найпримітивніші операції, наприклад, відокремити події, пов'язані з конкретним додатком (скажімо, Microsoft Word).
По-друге, навіть якщо офіцеру безпеки вдасться виявити факт витоку, то він все одно вже не зможе їй запобігти. Адже агент PC Acme зафіксував вчинене в минулому дію, і конфіденційна інформація вже давно дійшла до одержувача. Звичайно, можна пред'явити претензії самому інсайдеру, але блокувати витік таким способом неможливо.
Таким чином, програма PC Acme не тільки не володіє комплексністю, але й не перешкоджає витоку в принципі. Більше того, журнали подій, які ведуться кожним представленим в огляді продуктом, завжди досить докладні, щоб обчислити інсайдера постфактум і служити доказом при звинуваченні інсайдера. При цьому в цих журналів, на відміну від протоколу PC Acme, зафіксовані дії лише з конфіденційними даними, а не всі системні події поспіль.
Можна було б припустити, що продукт PC Acme підійде для маленьких компаній, де за діями, наприклад, десяти користувачів цілком реально простежити, періодично перевіряючи журнал подій. Проте виділення функцій ІТ-безпеки в окрему посаду офіцера для малого бізнесу - це нонсенс. [7]
. 1.2.2.5 Verdasys Digital Guardian
Американська компанія Verdasys поставляє комплексне рішення Digital Guardian, призначене для виявлення та запобігання витоків прямо на рівні робочих станцій. При цьому продукт неможливо дорікнути у відсутності комплексності, так як Digital Guardian покриває всі канали витоку, просто це робить це в тих місцях, де інформація використовується.
Реалізацією такого підходу є програмні агенти, що встановлюються на персональні комп'ютери і ноутбуки в організації. Агенти підтримують роботу в операційній системі Windows, а також в середовищі Citrix Metaframe і Microsoft Terminal Server. Агенти відповідають за ведення докладних журналів; контроль над додатками, комунікаціями і даними; виявлення порушень політики; фільтрацію подій, записаних в журнал, перед відправкою на сервер Digital Guardian.
Точно так само, як у випадку PC Acme, агент Digital Guardian є невидимим для користувача, може бути впроваджений віддалено і централізовано. Однак, на відміну від PC Acme, у складі Digital Guardian з'являється сервер (рис 1.10), на який агенти відсилають протоколи подій. Третім компонентів продукту є консоль управління, до якої можна отримати доступ по мережі. Консоль дозволяє складати звіти, збирати та аналізувати інформацію, контролювати інсталяцію агентів, управляти політиками і т.д.
Рис 1.10 Архітектура Digital Guardian
Продукти Verdasys відрізняються широким спектром супроводитьЄльне послуг. Так, постачальник надає консалтингові послуги ще до впровадження проекту, розробляє і впроваджує попередні проекти (наприклад, створюється експериментальна група робочих станцій, здійснюється моніторинг дій користувачів цих станцій і аналізуються результати), глибоке участь постачальника у впровадженні продукту і тренінги персоналу.
Проте, Digital Guardian володіє двома недоліками. По-перше, він не дозволяє архівувати електронну кореспонденцію, що ускладнює розслідування інцидентів ІТ-безпеки, ускладнює процес пошуку інсайдера і не дозволяє забезпечити відповідність з різними законами та нормативними актами. По-друге, Digital Guardian не виробляє контентну фільтрацію, що відправляється по мережі трафіку. Це випливає з того, що фільтрація, винесена на рівні робочої станції, вимагає величезної кількості апаратних ресурсів. До такого висновку прийшли експерти IDC. До того ж, це цілком логічно: фільтрацію, з використанням лінгвістичного аналізу, інші постачальники здійснюють на виділених серверах. Отже, агенти Digital Guardian в змозі відрізнити чутливі документи від НЕ конфіденційних тільки за допомогою заздалегідь заданого списку об'єктів, що захищаються (або помічених цифровими водяними ...
