Обзор Solar Dozor с новым модулем MultiDozor для поддержки территориально распределённых организационных структур

29 May 2020, 07:31 by Александр Панасенко

https://www.anti-malware.ru/files/styles/imagesize400w/public/images/source/28-05-2020-reviews.png?itok=rj0A2qOp

Версия DLP-решения Solar Dozor 7.2 отметилась новым модулем MultiDozor c поддержкой территориального распределения филиалов и дочерних организаций эксплуатанта. Какие же новые возможности готов предложить этот релиз отечественной системы защиты от утечек? Проведём анализ.

https://www.anti-malware.ru/files/images/certificates/287.png

Сертификат AM Test Lab

Номер сертификата: 287

Дата выдачи: 28.05.2020

Срок действия: 28.05.2025

Реестр сертифицированных продуктов »

Введение

На рынке систем обеспечения безопасности и, в частности, DLP-систем уже давно возникла потребность в поддержке работы сотрудников служб безопасности крупных коммерческих компаний и организаций со сложной территориально распределённой структурой.

Бизнес и государственные органы давно проявляют интерес к тем DLP-системам, которые способны предоставить функциональность распределённой работы. Так, заказчики и потенциальные приобретатели подобных систем заинтересованы в том, чтобы вести централизованный мониторинг внутренних процессов и контроль деятельности всех сотрудников безопасности в сети филиалов и дочерних зависимых обществ (ДЗО), работать с разрозненными данными территориально распределённой компании как с единым целым, видеть общую картину работы DLP-системы в компании, централизованно управлять этой системой и распространять политику безопасности на филиалы и ДЗО.

В мае 2020 года компания «Ростелеком-Солар» представила новую версию своей системы защиты от утечек Solar Dozor 7.2 с полностью обновлённой архитектурой и новыми возможностями, которые позволяют сотрудникам служб безопасности работать с системой в территориально распределённых компаниях и организациях.

Какие новые возможности даёт MultiDozor?

Первое, что следует отметить: обновлённый Solar Dozor имеет очень гибкую архитектуру. Теперь система поддерживает различные варианты построения, обеспечивающие как распределённые, так и централизованные сценарии хранения и обработки данных (в том числе — в различных комбинациях). Подобная гибкость позволяет не только удовлетворить потребности заказчиков с разнообразным организационным устройством, но и сбалансировать распределение технических ресурсов вкупе с нагрузкой на вычислительные мощности и каналы коммуникаций, используемые DLP-системой.

Помимо архитектурных изменений, связанных с появлением нового модуля Solar Dozor, была переработана практически вся функциональность системы. Обновления коснулись таких областей, как доступ к данным, использование рабочих столов руководителя и аналитика, поиск объектов, работа с сообщениями, событиями и инцидентами, формирование отчётности, управление политикой безопасности, информационными объектами и группами особого контроля, работа со сводной информацией групп персон в досье, доступность endpoint-агентов, мониторинг работоспособности системы, конфигурирование и настройка, управление лицензиями.

В этой статье подробно рассказано обо всех нововведениях, которые станут доступны пользователям новой версии Solar Dozor с модулем MultiDozor в территориально распределённых компаниях.

Архитектурное устройство

Варианты развёртывания

Наличие модуля MultiDozor обеспечивает гибкую настройку работы DLP-системы Solar Dozor в территориально-распределённом режиме. Для этого реализована возможность описывать филиалы и ДЗО через подкластеры, под которыми понимаются технические ресурсы с развёрнутыми на них инсталляциями системы, или через ветки организационно-штатной структуры — каталоги Active Directory.

Также в системе присутствует возможность эксплуатации общих ресурсов. Общие ресурсы предназначены для совместного использования распределёнными экземплярами системы; в их состав могут входить средства оптического распознавания текста (OCR) или поиска по цифровым отпечаткам (DIFI), общая корпоративная почта.

В системе реализована компонентная схема, при которой используется только одна точка входа в интерфейс. Таким образом, все территориально распределённые пользователи MultiDozor должны обращаться к системе через веб-сервис по внутрикорпоративной сети.

Solar Dozor может быть установлен в различных ИТ-инфраструктурах с разнообразными требованиями по обработке, хранению и передаче данных.

Поддерживаются следующие архитектурные схемы:

Сообщения могут обрабатываться и храниться локально в филиалах и ДЗО. При этом работа с данными осуществляется как с единым целым. Принадлежность данных к филиалам и ДЗО определяется по их техническим ресурсам — подкластерам (см. рис. 1).

Рисунок 1. Вариант организации архитектуры системы с распределённым хранением сообщений в филиалах и ДЗО

https://www.anti-malware.ru/files/28-05-2020/1.jpg

Сообщения могут храниться и обрабатываться централизованно — например, при использовании общей корпоративной почты. В данном случае принадлежность сообщений к филиалам и ДЗО определяется по назначенным для них веткам организационно-штатной структуры из досье системы (см. рис. 2).

Рисунок 2. Вариант организации архитектуры с общим хранением сообщений

https://www.anti-malware.ru/files/28-05-2020/2.jpg

Некоторые сообщения могут быть общими для компании, другая же их часть может обрабатываться в филиалах и дочерних организациях, а затем передаваться в единый ЦОД. Например, такая схема подходит для организаций, использующих общую почту и собирающих данные с endpoint-агентов на рабочих станциях сотрудников в своих филиалах и ДЗО (см. рис. 3).

Рисунок 3. Вариант организации архитектуры с общей почтой и распределёнными endpoint-агентами

https://www.anti-malware.ru/files/28-05-2020/3.jpg

Другие особенности архитектуры

В системе с модулем MultiDozor обеспечивается централизованное конфигурирование с последующим распространением настроек на территориально распределённые инсталляции. Кроме того, централизованно хранятся и обрабатываются создаваемые события и инциденты; соответствующие данные занимают незначительный объём по сравнению с данными сообщений, в связи с чем их передача на общие ресурсы и доступ к ним в едином месте хранения не нагружают каналы корпоративной сети. Настройка информационных объектов, специфичных для филиалов и ДЗО, также позволяет снизить нагрузку при обработке данных в распределённых инсталляциях Solar Dozor.

В системе с модулем MultiDozor используются единая организационно-штатная структура и единое досье персон.

Сбор информации endpoint-агентами с рабочих станций сотрудников осуществляется распределённо, при этом имеется возможность передачи агентских данных на общекорпоративные ресурсы для централизованного анализа и хранения. Группы endpoint-агентов при работе системы в территориально-распределённом режиме соотносятся с техническими ресурсами филиалов и ДЗО, в которых они развёрнуты на рабочих станциях сотрудников, либо с общими техническими ресурсами компании. Снимки экранов, которые делают endpoint-агенты, могут храниться на локальных ресурсах территориальных подразделений и по запросам отображаться в пользовательском интерфейсе, что позволяет значительно снизить нагрузку на корпоративную сеть.

Обеспечивается централизованный контроль деятельности в системе пользователей — сотрудников службы безопасности, работающих в филиалах и ДЗО, при помощи журнала регистрации действий.

Пользователи системы — сотрудники службы безопасности из филиалов и ДЗО могут получать дополнительные возможности при работе с Solar Dozor в случае выдачи им соответствующих прав доступа. К числу таких возможностей принадлежат функции по формированию отчётности, использованию справочников, управлению пользователями и ролями, применению discovery-инструмента File Crawler и модуля анализа поведения (UBA).

Переработка функциональности: новые возможности MultiDozor

Переход в территориально-распределённый режим

В системе появилась возможность настройки организационных единиц, то есть филиалов и ДЗО, входящих в территориально распределённую компанию или организацию.

Пользователей системы — сотрудников службы безопасности компании можно прикреплять к тем филиалам или ДЗО, с данными которых они должны работать.

Рисунок 4. Настройка организационных единиц (филиалов и ДЗО)

https://www.anti-malware.ru/files/28-05-2020/4.jpg

Рисунок 5. Прикрепление пользователей к организационным единицам

https://www.anti-malware.ru/files/28-05-2020/5.jpg

Доступность данных, относящихся к филиалам и ДЗО

В территориально распределённой системе Solar Dozor у пользователя — сотрудника службы безопасности появилась возможность выбора доступных филиалов и ДЗО, из которых он хочет получать и анализировать данные сообщений, событий и инцидентов.

Сотрудники службы безопасности могут быть наделены в системе разными правами. Так, офицер безопасности с широкими полномочиями может иметь доступ к данным всей компании или к их существенной части — что позволит ему, например, расследовать межфилиальные конфликты или случаи мошенничества, равно как и инциденты в конкретном территориальном подразделении компании. В свою очередь, аналитик в филиале или ДЗО будет прикреплён только к своей организационной единице и, соответственно, сможет работать только с её данными.

Рисунок 6. Элемент выбора организационных единиц — филиалов и ДЗО

https://www.anti-malware.ru/files/28-05-2020/6.jpg

Рабочие столы руководителя и аналитика

На рабочих столах руководителя и аналитика в территориально распределённой системе Solar Dozor появилась возможность просматривать статистику по данным тех филиалов и ДЗО, которые интересуют сотрудника службы безопасности. При выборе различных организационных единиц информация на рабочих столах перестраивается в соответствующих разрезах.

Рисунок 7. Влияние выбора организационных единиц на отображение данных на рабочем столе руководителя

https://www.anti-malware.ru/files/28-05-2020/7-1.jpg

https://www.anti-malware.ru/files/28-05-2020/7-2.jpg

Рисунок 8. Влияние выбора организационных единиц на отображение данных на рабочем столе аналитика

https://www.anti-malware.ru/files/28-05-2020/8.jpg

Поиск и работа с данными сообщений

При создании поисковых запросов в территориально распределённой системе Solar Dozor в режиме как быстрого, так и расширенного поиска выполняется выбор филиалов и ДЗО. Поиск сообщений в системе выполняется с учётом условий этого выбора.

В случае недоступности распределённых технических ресурсов при поиске пользователю системы выводится оповещение об этом. Таким образом сотрудник службы безопасности понимает, со всеми ли найденными данными системы он работает, или ему предоставлена неполная выборка.

Для найденных сообщений отображается их принадлежность к филиалам и ДЗО. Эта же информация доступна в карточках сообщений и при выгрузке результатов поисковых запросов.

Рисунок 9. Выбор организационных единиц при выполнении быстрого поиска

https://www.anti-malware.ru/files/28-05-2020/9.jpg

Рисунок 10. Отображение сведений о принадлежности сообщений к организационным единицам в списке результатов поиска

https://www.anti-malware.ru/files/28-05-2020/10.jpg

Рисунок 11. Отображение сведений о принадлежности сообщений к организационным единицам в карточке сообщения

https://www.anti-malware.ru/files/28-05-2020/11.jpg

Работа с событиями и инцидентами

При выборе сотрудником службы безопасности различных интересующих его филиалов и ДЗО изменяются как состав списка событий и инцидентов в соответствующей рабочей области системы, так и статистика по ним.

В случае выполнения поиска по событиям и инцидентам, а также при непосредственной работе с ними на формах этих объектов отображается информация о том, к каким филиалам и ДЗО компании они относятся.

Рисунок 12. Отображение сведений о принадлежности к организационным единицам в списке событий и инцидентов

https://www.anti-malware.ru/files/28-05-2020/12.jpg

Рисунок 13. Отображение сведений о принадлежности к организационным единицам в карточке инцидента

https://www.anti-malware.ru/files/28-05-2020/13.jpg

Формирование отчётности

При создании в системе таких отчётов, как статистика по адресам, отчёт в виде списка, сводный отчёт по инцидентам или тепловая карта коммуникаций, сотрудникам службы безопасности также предоставляется возможность выбора тех филиалов и ДЗО, по данным которых следует сформировать нужный документ.

Для отчётов, которые строятся в системе, используются данные сообщений, событий и инцидентов. При работе в территориально-распределённом режиме информация о принадлежности этих объектов к филиалам и ДЗО компании отображается в интерфейсе и печатных формах отчётов.

Рисунок 14. Выбор организационной единицы при построении сводного отчёта по инцидентам

https://www.anti-malware.ru/files/28-05-2020/14.jpg

Рисунок 15. Отображение сведений о принадлежности к организационным единицам в печатной версии сводного отчёта по инцидентам

https://www.anti-malware.ru/files/28-05-2020/15.jpg

Настройка политики безопасности и работа с информационными объектами

Политика безопасности централизованно настраивается в системе пользователями с соответствующими правами доступа. При этом можно настроить специфические правила политики для определённых территориальных подразделений. После настройки политика безопасности транслируется в филиалы и ДЗО.

Рисунок 16. Настройка условия политики безопасности для применения к организационной единице компании

https://www.anti-malware.ru/files/28-05-2020/16.jpg

Информационные объекты, детектирование которых в сообщениях осуществляется средствами системы, могут быть общими для всей компании или уникальными для некоторых филиалов или ДЗО со специфическими особенностями деятельности.

Статистика по информационным объектам в соответствующей области системы изменяется в зависимости от выбираемых филиалов и ДЗО.

Рисунок 17. Настройка информационного объекта для использования в филиалах

https://www.anti-malware.ru/files/28-05-2020/17.jpg

Работа с группами особого контроля

Группы особого контроля, предназначенные для помещения в них персон компании, деятельность которых связана с рисками для безопасности, ведутся в разрезах каждого филиала или ДЗО. При этом одновременно могут использоваться и общие для всей компании такие группы.

Видимость групп особого контроля и сформированных для них правил политики безопасности ограничивается в соответствии с правами доступа специалистов ИБ-служб к данным филиалов и ДЗО. Например, если у безопасника нет прав доступа к данным того или иного территориального подразделения, то и информация о группах особого контроля этого филиала ему будет недоступна.

Рисунок 18. Работа с группами особого контроля в разрезах организационных единиц

https://www.anti-malware.ru/files/28-05-2020/18.jpg

Работа с досье и персонами

На карточках персон отображается информация о тех филиалах и ДЗО, в которых они числятся, если такие организационные единицы определены через группы организационно-штатной структуры компании.

Рисунок 19. Отображение на карточках персон сведений о филиалах или ДЗО, в которых они числятся

https://www.anti-malware.ru/files/28-05-2020/19.jpg

Доступ сотрудников службы безопасности, работающих с данными только своих филиалов и ДЗО, к данным персон из других организационных единиц компании ограничивается: можно получить только общие сведения, такие как должность, подразделение, контактный телефон, руководитель, статус, адрес электронной почты и перечень групп организационно-штатной структуры, в которые входит персона. Доступ к информации о том, в какие группы особого контроля включена персона, и об уровне доверия последней не предоставляется.

Рисунок 20. Доступ к данным персон, числящихся в организационных единицах, отличных от доступных сотруднику службы безопасности

https://www.anti-malware.ru/files/28-05-2020/20.jpg

Управление endpoint-агентами

Видимость групп endpoint-агентов и информации от агентских приложений также ограничивается в соответствии с правами доступа пользователей системы к данным филиалов и ДЗО. Управление endpoint-агентами может выполняться как централизованно, так и локально — уполномоченными сотрудниками службы безопасности или ИТ-подразделения на местах.

Рисунок 21. Настройка endpoint-агентов, разворачиваемых на территориально распределённых технических ресурсах компании

https://www.anti-malware.ru/files/28-05-2020/21.jpg

Мониторинг технического состояния системы

Для проведения технического обслуживания и выявления проблем в работоспособности технических ресурсов территориально распределённой системы Solar Dozor добавлена возможность выбора для мониторинга только тех технических ресурсов филиалов и ДЗО, которые интересуют ответственного специалиста.

Рисунок 22. Мониторинг технического состояния системы Solar Dozor, работающей в территориально-распределённом режиме

https://www.anti-malware.ru/files/28-05-2020/22.jpg

Лицензирование

В системе появилась возможность задавать различные условия лицензирования для разных филиалов и ДЗО компании, а также для общих ресурсов. Лицензии загружаются в систему и централизованно рассылаются по территориальным подразделениям. При этом обеспечивается возможность контролировать процесс загрузки непосредственно в интерфейсе системы.

Добавлены механизмы для автоматического соотнесения загружаемых лицензий с техническими ресурсами филиалов и ДЗО компании. Сведения о состоянии лицензий и о нарушении лицензионных ограничений выводятся пользователям, работающим с теми экземплярами системы, которые развёрнуты в этих филиалах и ДЗО.

Рисунок 23. Контроль загрузки лицензионных соглашений для общих ресурсов, филиалов и ДЗО

https://www.anti-malware.ru/files/28-05-2020/23.jpg

Рисунок 24. Контроль загрузки лицензий для технических ресурсов, на которых размещены экземпляры системы в филиалах и ДЗО

https://www.anti-malware.ru/files/28-05-2020/24.jpg

Выводы

Потребности крупного бизнеса и государственного сектора таковы, что системы защиты от угроз и, в частности, DLP-системы должны поддерживать работу сотрудников служб безопасности компаний и организаций в территориально-распределённом режиме.

Новая версия системы Solar Dozor с модулем MultiDozor не только удовлетворяет такие потребности заказчиков, но и поддерживает гибкую настройку архитектуры, что позволяет разворачивать и использовать DLP-систему в ИТ-инфраструктурах с самой различной топологией.

Помимо прочего при проектировании территориально-распределённого режима работы системы Solar Dozor учитывалось, что у некоторых заказчиков между филиалами и ДЗО могут быть каналы связи с низкой пропускной способностью. Система позволяет максимально снизить нагрузку на сеть за счёт локального хранения больших объёмов данных и получения удалённого доступа к ним.

На фоне разработок конкурентов обновлённая система Solar Dozor выделяется в первую очередь своей универсальностью, а также наличием большого числа функций для работы в территориально-распределённом режиме.

Достоинства

Архитектурная гибкость.
Снижение нагрузки на каналы передачи данных.
Централизованное формирование и распространение политики безопасности с возможностью настройки правил для конкретных филиалов и ДЗО.
Настройка и видимость групп особого контроля по территориальным подразделениям.
Настройка общих для всей компании или специфичных для филиалов и ДЗО информационных объектов.
Возможность для филиалов и ДЗО скрывать видимость endpoint-агентов, не относящихся к их организационной единице.
Возможность для филиалов и ДЗО запрещать доступ к детальным данным персон из других организационных единиц.
Автоматическое распространение настроек, конфигураций и лицензий на территориально распределённые экземпляры системы.
Централизованный мониторинг работы распределённых технических ресурсов.

Недостатки

Поддерживается иерархическая структура компании только с двумя уровнями.
Не поддерживается управление пользователями в разрезах филиалов и ДЗО.
Discovery-решение в составе Solar Dozor (модуль File Crawler) не поддерживает работу в территориально-распределённом режиме.
Модуль анализа поведения (User Behavior Analytics, UBA) в составе Solar Dozor также не поддерживает работу в территориально-распределённом режиме.

Перечисленные недостатки будут учтены в ближайших версиях.

За помощь в подготовке текста автор благодарит Михаила Остапчука, ведущего аналитика Ростелеком-Solar.