19 февр. 2016 г.

Безопасная информационная среда предприятия: G Data PolicyManager (Менеджер политик)

Одним из наиболее опасных видов атаки на сегодняшний день является шифрование файлов пользователей с требованием злоумышленников заплатить за расшифровку.

Как защитить свои ценные данные?

Компонент решений безопасности G Data - модуль PolicyManager является частью продуктов G Data Endpoint Protection Business и Managed Endpoint Security.

Брандмауэр, монитор файловой системы и другие модули предоставляют конечным пользователям безопасную вычислительную среду, свободную от вредоносных программ. Однако, часто политики безопасности предприятия определяют, кроме прочего, типы контента, доступ к которому должен быть ограничен. С помощью PolicyManager можно заблокировать нежелательный контент, добавить подозрительные приложения в черный список и ограничить доступ в интернет. Также можно запретить использование внешних USB-дисков. Все эти меры служат не только для обеспечения сетевой безопасности, но и для обеспечения соблюдения клиентами политик безопасности предприятия. G Data PolicyManager предоставляет простой в использовании модуль для настройки клиентов в соответствии с их назначением.

Перед определением политик безопасности следует разработать представление о клиентских ролях в сети и правах конечных пользователей. Скорее всего клиенты, находящиеся в разных отделах, будут иметь разные права на доступ к различным ресурсам предприятия и сети Интернет. В то же время весьма вероятно, что существуют правила, утвержденные для использования в масштабах всего предприятия. Если в компании определена общая политика безопасности, она может помочь в создании соответствующих правил PolicyManager. Например, если во всей сети предприятия запрещено использовать USB-диски, то это легко установить из панели управления PolicyManager. Комбинирование настроек компонентов PolicyManager позволяют создать набор правил, обеспечивающих условия, при которых важные данные не смогут покинуть корпоративную сеть через USB-устройства, средства совместного доступа к файлам или через облачные хранилища.

Как и в других случаях развертывания решений безопасности, правила PolicyManager должны пройти проверку на некоторых отобранных для тестирования клиентах. При этом у конечных пользователей не должна быть ограничена возможность эффективно использовать компьютер для выполнения рабочих задач. Впоследствии, каждое изменение политик должно также проходить проверку на подходящих целевых клиентах, прежде, чем оно будет добавлено в общую политику безопасности по умолчанию для всех клиентов.

В состав модуля PolicyManager входит четыре компонента: Контроль приложений, Контроль устройств, Контроль веб-контента и Время пользования интернетом. Каждый компонент может быть включен или выключен отдельно от остальных. Параметры PolicyManager применяются к тем клиентам, которые выбраны в структуре сети в G Data Administrator. Компоненты PolicyManager могут активированы только для пользователей, или (для оптимальной безопасности) для пользователей и администраторов в том случае, когда локальные администраторы также должны подчиняться общей политике безопасности.

Приложения

Политика безопасности, позволяющая конечным пользователям запускать любые приложения, может стать источником проблем ввиду того, что неизвестное программное обеспечение может содержать вредоносные компоненты. Также, в большинстве случаев, конечные пользователи в сети предприятия не должны иметь возможность использовать p2p. Приложения мгновенного обмена сообщениями являются еще одним типом нежелательного программного обеспечения. Контроль приложений позволяет администраторам управлять и применять правила для приложений, используя черный список или белый список, конфигурируемый для клиентов. Таким образом, большая группа приложений может быть назначена в качестве нежелательного программного обеспечения. Перед формированием белых и черных списков приложений необходимо получить представление о программном обеспечении, установленном на клиентах в сети. Такую возможность предоставляет функция инвентаризации программного обеспечения клиентского модуля, где каждую программу можно разрешить или запретить глобально, добавив ее соответственно в белый или черный список. Таким образом будут сформированы белый и черный списки программного обеспечения, и их можно редактировать в дальнейшем. Также следует обратить внимание на столбец "Производитель", данные из которого можно использовать при создании правил в PolicyManager.

Для того, чтобы контроль приложений правильно функционировал, должен быть включен монитор файловой системы G Data (сторож) (см главу 8.2.1). Для каждого клиента можно определить, каким образом будет работать Контроль приложений: в режиме черного списка или в режиме белого списка. В режиме черного списка все приложения, которые определены в этом списке, будут заблокированы, если конечный пользователь попытается запустить их. Режим белого списка разрешает запускать только приложения в списке для запуска и блокирует все остальные. Несмотря на то, что можно определить любой режим для различных клиентов, рекомендуется единообразие настроек, чтобы сделать управление проще. Режим белого списка является наиболее безопасным: только приложения, которые считаются безопасными, могут быть запущены. При определении приложений для белого списка администраторы должны провести тестирование, прежде чем развернуть политику безопасности на всю сеть. Необходимо получить полные сведения о программном обеспечении, чтобы избежать блокировки важных программ конечных пользователей в процессе работы. Альтернативным, уместным в некоторых случаях, режимом является черный список: администраторы определяют программное обеспечение, которое никогда не должно быть запущено. Недостатком этого режима является отсутствие информации о новом программном обеспечении, появившемся в сети предприятия. Кроме того, если конечный пользователь самостоятельно устанавливает программное обеспечение, оно не будет заблокировано в режиме черного списка.

Чтобы добавить правило к списку, нажмите кнопку "Создать..."; чтобы изменить правила по умолчанию, нажмите "Правила по умолчанию". Правила по умолчанию охватывают множество популярных сторонних программ. Добавление пользовательского правила определяется по поставщику, файлу или каталогу. Вы можете создать правило по признаку производителя программного обеспечения. В этом случае, особенно в режиме белого списка, убедитесь что компоненты операционной системы и решений безпасности G Data будут запускаться, добавив соответствующие правила по признаку производителя со строкой Microsoft * или G Data *, или с помощью соответствующих правил по умолчанию.

Если создается правило, при котором приложения по производителю должны быть заблокированы за исключением некоторых программ, исполняемых файлов или отдельных каталогов, для правила можно добавить соответствующие исключения. Правило файлов может быть добавлено путем ввода свойств файла, который должен быть заблокирован. Это имя файла, контрольная сумма (MD5), название продукта, авторские права и версия (или диапазон версий) файла. Поля свойств файла можно заполнить вручную или воспользоваться опцией "Определить свойства файла" в диалоге создания правила. При использовании этой опции можно выбрать любой файл, доступный в сети или на локальной машине. Правило каталога позволяет администраторам выбрать любую папку, исполняемые файлы в которой будут блокироваться или запускаться, в том числе опционально - для вложенных папок.

Когда определены все правила и контроль приложений активирован для соответствующих клиентов, рекомендуется проверить корректность настроек всех правил. Когда конечный пользователь попытается запустить заблокированное приложение, G Data Security Client будет автоматически блокировать доступ к нему. Если для конкретного клиента активирована опция "Пользователь может сообщать о заблокированных приложениях", то при блокировании приложений будет открываться окно с уведомлением об этом и кнопкой запроса разрешения на запуск заблокированного приложения. Такой запрос добавит соответствующую запись в модуль отчетов G Data Administrator. Используя этот отчет, администратор может создать новое правило или добавить приложение в белый список, если конечный пользователь должен иметь возможность использовать его. Оставлять эту опцию выключенной рекомендуется для клиентов, на которых приложения должны быть заблокированы без взаимодействия с пользователем или обратной связи с администратором.

При формировании правила на основе отчета о блокировке приложения администратор может разрешить его выполнение для отдельных клиентов или групп. По умолчанию указан только клиент, отправивший запрос. Таким образом, приложение будет добавлено в соответствующие списки клиентов или удалено из них. Если файл заблокирован правилом производителя, то он может быть добавлен в исключение этого правила, или такое правило может быть удалено. Для клиентов, работающих в режиме белого списка, приложение из отчета может быть добавлено в правило файла или производителя.

Устройства

Большая часть вредоносного программного обеспечения попадает в сеть предприятия из интернета. Однако, переносные устройства хранения данных по-прежнему часто становятся способом распространения угроз. Съемные носители, такие как USB-диски, дискеты, а также CD и DVD могут содержать вирусы. Кроме того, через съемные устройства возможны утечки важных данных из информационных активов предприятий. Еще один тип устройств - веб-камеры - также могут быть отключены из соображений конфиденциальности. Работа таких устройств на всех сетевых клиентах регулируется в панели "Контроль устройств" модуля PolicyManager.

В общих настройках этого компонента администратор может задать права доступа к устройствам: "Чтение/запись", "Чтение" и "Запретить доступ". Соответственно, пользователи получат либо полные права на использование устройства, либо смогут только прочитать данные на устройстве, но не смогут записать данные на него, либо вообще не смогут воспользоваться устройством. В последнем случае будет реализован максимальный уровень безопасности, поскольку, с одной стороны, вредоносное программное обеспечение не сможет приникнуть извне, и, с другой стороны, конечные пользователи не смогут использовать устройства для несанкционированного вывода данных из сети предприятия.

Полная блокировка всех устройств является самой простой и надежной реализацией этого модуля. Однако, в процессе работы конечным пользователям время от времени бывает необходимо локально использовать внешний диск или веб-камеру. Нужные устройства можно добавить в белый список на основе запроса от пользователя, или определив идентификатор аппаратного обеспечения устройства (носителя информации). Перед применением правил ко всем сетевым клиентам следует убедиться, что все внешние устройства, которые должны использоваться постоянно в рамках рабочих процессов, добавлены в белый список сети.

Устройства в категориях "Чтение / запись" и "Чтение" не блокируются. Для тех устройств, которые были заблокированы, возможно добавление в белый список. В окне выбора устройств можно выполнить поиск локально или в сети. Для правильного определения устройства используется идентификатор аппаратного обеспечения. Например, система, в которой блокируются DVD-диски, может иметь один DVD-диск, определенный как исключение. Это также полезно, когда, при общем запрете, например, на USB-диски, необходимо использовать в работе одно или несколько конкретных устройств.

Подобно контролю приложений, модуль "Управление устройствами" может работать скрытно или взаимодействуя с пользователем. Для того, чтобы пользователь мог при необходимости запросить использование того или иного устройства, отметьте опцию "Пользователь может сообщать о заблокированных устройствах". При этом в случае блокировки устройства пользователь увидит всплывающее окно с уведомлением о блокировке и сможет запросить разрешение использовать устройство. Будет сгенерирован отчет, на основании которого администратор сможет включить для данного клиента использование категории устройств или конкретного устройства, при этом возможности добавления устройств в белый список зависят от данных, представленных в отчете. Следует проявлять осторожность при разрешении устройств. Всякий раз необходимо убедиться в том, что использование каждого конкретного устройства действительно необходимо в рамках рабочих процессов в сети предприятия. В целом такой подход к использованию внешних носителей информации позволит существенно снизить риски в плане информационной безопасности на предприятии.

Контроль веб-контента

Важной частью политик безопасности предприятия является ограничение доступа к определенным веб-сайтам. Причин для таких ограничений может быть несколько. Например, конечные пользователи могут быть ограничены от посещений веб-сайтов, не имеющих ничего общего с задачами, которые они выполняют (например, сайты онлайн-игр или социальных сетей). Кроме того, некоторые сайты могут содержать незаконный или потенциально небезопасный контент. Сайты файлового обмена, контента для взрослых или сайты, распространяющие информацию о взломах компьютерных систем почти во всех случаях, не имеют отношения к работе, должны быть заблокированы. Такие сайты часто встречаются в теневых сегментах интернета, где вредоносные веб-страницы или рекламные модули могут заразить компьютеры посетителей вредоносными программами.

Перед тем, как заблокировать какую-либо категорию, включенную в веб-контроль PolicyManager, необходимо проверить перечень веб-сайтов, посещение которых необходимо для работы конечных пользователей. Чтобы убедиться в том, что важные адреса не будут заблокированы, они должны быть добавлены в глобальный белый список перед развертыванием политики. Также, если есть какие-либо сайты, которые специально должны быть заблокированы, они могут быть добавлены в глобальный черный список. Для экономии времени администраторы могут блокировать категории сайтов, сформированные заранее. Доступны некоторые категории, в которых веб-сайты сгруппированы по типу контента, и каждая категория представляет собой список URL-адресов этих веб-сайтов. Для каждой группы клиентов можно отметить категории веб-сайтов, которые должны быть заблокированы. Рекомендуется блокировать веб-сайты с нелегальным контентом, входящие в такие категории как "Наркотики", "Сервисы для обмена", "Хакерство" и проч. В зависимости от политик безопасности для определенных групп клиентов могут быть разрешены такие категории как "Бизнес", "Блоги" или "Чат" (для них нежелательный контент можно блокировать категориями "Контент для взрослых", "Ненависть" и "Порнография").

Изменение категорий контроля веб-контента применяется для тех клиентов и групп, которые в текущем представлении выбраны в модуле управления клиентами. Если флажок напротив названия категории выбран, доступ к веб-сайтам в этой категории допускается. Чтобы заблокировать доступ, снимите флажок с категории. Допускается любая комбинация категорий, однако, не рекомендуется запрещать доступ ко всем категориям из-за того, что их действие распространяется на очень широкий круг сценариев. Это может привести к затруднениям доступа к необходимым для работы веб-сайтам и сервисам сети. Администраторы должны выполнить отбор конкретных веб-сайтов, которые должны быть разрешены или запрещены к посещению. В дополнение к списку категорий, веб-сайты могут быть заблокированы или разрешены с помощью глобальных списков. Глобальный белый список разрешает посещение отмеченных в нем сайтов вне зависимости от комбинации категорий контроля веб-контента PolicyManager. Черный список аналогичным образом глобально запрещает доступ к веб-сайтам. Таким образом, глобальные белый и черный списки позволяют быстро разрешить или запретить какие-либо узлы для всех пользователей в сети.

Контроль веб-контента опирается на слой сканирования HTTP-трафика (см главу 8.1). Это означает, что возможность обрабатывать интернет-трафик должна быть включена для каждого клиента, для которого должен быть развернут контроль веб-контента. Обработка интернет-трафика может быть включена на вкладке "Интернет/Чат" модуля "Настройки клиента". Здесь же можно указать данные прокси-сервера, если таковой используется в сети. Когда конечный пользователь запрашивает URL в браузере, клиент G Data Security проверяет его на соответствие правилам глобальных списков и категориям G Data PolicyManager. Если категория заблокирована, или адрес веб-сайта в глобальном черном списке, запрос будет отклонен, и страница не загрузится. Если поиск по категориям не даст результата в течение 1000 миллисекунд, страница будет загружена. Если в PolicyManager отмечен пункт "Пользователь может сообщать о заблокированном контенте", всплывающее окно уведомит пользователя о том, что веб-сайт был заблокирован. Из этого окна пользователь может запросить разблокировку веб-сайта. Это действие сформирует запись в модуле отчетов, откуда администратор сможет добавить запрошенный сайт в глобальный белый список или изменить настройки категорий.

Контроль времени использования Internet

Четвертый модуль PolicyManager полностью блокирует web-контент по заранее заданному расписанию. Администраторы могут блокировать доступ к Интернету для конкретного времени суток, ограничить его до максимального совокупного времени пользования Интернетом, или полностью закрыть доступ. Сотрудники, не нуждающиеся в постоянном использовании Интернета в рабочие часы, смогут сосредоточиться на своих задачах, получая доступ в Интернет, например, в обеденное время. Кроме того, ограничение доступа в Интернет повышает безопасность, снижая время доступности этого вектора атаки. Однако, зачастую блокирование доступа в Интернет может ограничивать рабочие процессы, и сценарии использования этого модуля должны быть тщательно продуманы.

Панель контроля времени использования Интернета содержит два компонента - таблицу почасового блокирования слева и временные лимиты справа. В таблице можно выделить нужные интервалы с помощью мыши. Также можно использовать Ctrl+A, чтобы выделить всю таблицу, Ctrl для выделения отдельных элементов и Shift для выделения интервалов. Клик правой кнопкой мыши на выделенных интервалах вызовет контекстное меню выбора блокировки.

Если конечный пользователь пытается получить доступ к веб-сайту в то время, когда Интернет блокируется, в браузере будет отображена страница предупреждения. Ограничение доступа к Интернет можно обойти, если изменить настройки местного времени на компьютере конечного пользователя. Рекомендуется заранее отключить возможность изменения локальных параметров времени, используя объект групповой политики.

В правой части панели с помощью ползунков можно изменять временные лимиты на неделю, месяц и на каждый день недели. Эти ограничения используются как отдельно, так и в дополнение к таблице почасового блокирования. Также время можно ввести вручную с точностью до минуты в соответствующих полях напротив ползунков. После того, как лимит времени использования Интернета будет превышен, при попытке доступа к веб-сайту пользователь увидит страницу с предупреждением. Если настройки времени пользования Интернетом в таблице и в интервалах будут содержать противоречия, будет использован наименьший лимит.

Как и контроль веб-контента, блокировка времени использования Интернета использует модуль сканирования http-трафика. Это означает, что для каждого клиента, для которого должно отслеживаться время использования Интернета, должна быть включена опция обработки интернет-трафика. Трафик на иные порты, кроме тех, которые назначены для сканирования http-трафика, не контролируется.