DLP Lite – легче уже некуда

в 18:41, , рубрики: data leakage prevention, dlp, информационная безопасность, утечка данных, метки: , , ,

Системы DLP (Data Leak Prevention) бывают разные.
Для специалиста по информационной безопасности основных критериев выбора, как известно, всего два: функциональность продукта и его стоимость. Стоимость DLP-системы чаще всего прямо пропорциональна ее возможностям, хотя так бывает и не всегда.

Что же касается набора возможностей DLP-систем, то принято выделять следующие три «класса функциональности»:
Enterprise DLP – эти системы осуществляют мониторинг и контроль широчайшего перечня возможных каналов утечки данных. Вендоры, разрабатывающие такие системы, у всех на слуху: Symantec, McAfee, Websense, etc. Именно они штурмуют правый верхний квадрант Gartner'а.
Channel DLP – эти системы уже менее функциональны, и в первую очередь – за счет своей «узкой специализации». Примером здесь может служить DLP-система, которая контролирует данные, передаваемые только по электронной почте. Иногда функции DLP такого класса встраиваются в другие продукты (в почтовый сервер, если следовать тому же примеру).
DLP-lite – эти системы выделились в отдельный класс относительно недавно, и представляют собой совсем легкие продукты (читай: утилиты). Основное их назначение – быстро развернуться в инфраструктуре и быстро решить несложную конкретную задачу.

В настоящей статье я хочу привести пример работы программного продукта, который как нельзя лучше подпадает под третий класс «сложности». Речь пойдет про DLP Lite производства американской компании STEALTHbits Technologies. Продукт этот абсолютно бесплатен и решает одну-единственную задачу: ищет в расположенных на диске файлах чувствительные sensitive данные.

Установка DLP Lite

Заполняем форму вот на этой странице и после этого скачиваем файл DLPLiteSetup.msi.
Размер файла – 5,7 Мб.
Запускаем инсталлятор, I Agree, Next, Next, Next, Finish.

Преднастройка и запуск DLP Lite

В разделе «Where to scan…» в поле «File Path» мы указываем путь, по которому у нас лежит куча файлов, среди которых мы хотим найти те документы, которые не должны там лежать. Отдельными галками отмечаем необходимость сканировать подпапки и указываем нужную глубину погружения в эти самые подпапки.

DLP Lite – легче уже некуда

В поле «Wildcard» мы можем указать маску, по которой будут фильтроваться файлы при сканировании. По умолчанию в этом поле указано *.*, но если нажать на кнопку «More», то станет ясно, что не такой уж там и *.*
Текстовый файл DLPFileTypes.txt, открывающийся по кнопке «More», сообщает нам о том, что настройки из этого файла применяются дополнительно к настройкам, указанным в поле «Wildcard».

В частности, параметр
INCLUDE=xls,xlsx,doc,docx,ppt,pptx,rtf,txt,htm,html,xml,csv,tsv,pdf
определяет расширения тех файлов, которые будут просканированы.
Аналогично, параметр
EXCLUDE=DLL,EXE,MSI,WMV,MOV,ISO,SYS,ICO,BMP,JPG,GIF,TMP,LOG
определяет расширения тех файлов, которые будут исключены из сканирования.
Таким образом, если мы удалим или закомментируем эти два параметра, сканер пройдется вообще по всем-всем-всем файлам.

В разделе «What to look for…» в поле «Search for:» мы с помощью галок отмечаем те сущности, которые хотим отыскать в файлах при сканировании. По умолчанию в DLP Lite имеется возможность искать:
• Social Security Numbers
• Credit Cards
• CC:Visa
• CC:Amex
• CC:Mastercard
• Email Addresses
• Currency
• Phone No (US/CAN)
• ZIP Code
• Zip US East
• ZIP US Central
• ZIP US West
• CDN Postal Code

Кнопка «Check All»/ «Uncheck All» позволяет нам одним кликом выбрать все сущности для поиска либо снять выбор, а кнопка «View Definitions» открывает файл DLPTypes.txt. Именно в этом файле хранятся регулярные выражения, с помощью которых и парсятся файлы в целевой папке.
Разумеется, этот файл можно дополнять своими записями. В качестве примера на скриншоте показан добавленный вариант «Российский паспорт» и соответствующее ему регулярное выражение для поиска серии и номера паспорта.

DLP Lite – легче уже некуда

DLP Lite – легче уже некуда

Если нужно произвести поиск по какому-либо критерию, но нет необходимости делать это на постоянной основе, то можно не редактировать файл DLPTypes.txt. В том же самом разделе «What to look for…» имеется поле «Custom Regular Expression» — вот туда и вписываем свое регулярное выражение.

В разделе «Options…» имеется три возможности поставить галочки:
• показывать только те файлы, для которых критерии поиска были выполнены
• показывать файлы, к которым сканер по какой-то причине не смог получить доступ (например, не хватает прав)
• не сканировать файлы больше определенного размера (по умолчанию порогом является 1 Мб)

После настройки всех параметров нажимаем кнопку «START SCAN».

Просмотр результатов

При сканировании файлов имеется возможность приостановить процесс или прервать его полностью. В любом случае в результате появится новое окно с двумя вкладками: «Progress» и «Analyze».
На вкладке «Progress» отображается информация о том, сколько файлов обработал сканер, сколько (потенциально) интересующих нас данных он обнаружил, к скольким файлам сканер не смог получить доступ.

DLP Lite – легче уже некуда

На вкладке «Analyze» в табличном виде отображается информация о том, что конкретно было найдено. В каждой колонке имеется возможность сортировки, фильтрации и группировки результатов сканирования. Для группировки нужно перетащить заголовок нужной колонки в серое поле вверху таблицы.

DLP Lite – легче уже некуда

Здесь же присутствует кнопка экспорта результатов в XLS-файл. К сожалению, другие форматы экспорта не поддерживаются.

На сайте производителя можно почитать/скачать User Manual объемом целых 4 страницы.

Резюме: DLP Lite — незамысловатый продукт, который можно взять на вооружение до тех пор, пока не будет найдено более удобное бесплатное средство. Или пока не появятся деньги на платное.

Кстати, о платном.
На первых скриншотах видна реклама производителя: UPGRADE TO DLP PRO | SUMMER 2012.
И хотя до конца лета 2012 осталась всего неделя, никаких подробностей о PRO-версии до сих пор нет. По ссылке, зашитой в рекламу, запускается минутный видеоролик с какими-то круговыми диаграммами и таблицами.

Автор: eafanasov

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js