EndPointSniffer – средство контроля трафика, передаваемого с корпоративных ноутбуков., Алматы

EndPointSniffer – средство контроля трафика, передаваемого с корпоративных ноутбуков.

SearchInform EndpointSniffer – компонент «Контура информационной безопасности SearchInform», предназначенный для борьбы с утечками информации непосредственно на рабочих местах, в том числе и через используемые в организации ноутбуки и нетбуки.

SearchInform EndpointSniffer решает проблему контроля данных на корпоративных лэптопах, позволяя контролировать трафик, передаваемый с корпоративных лэптопов и за пределами корпоративной сети. Во время работы дома или в командировке EndpointSniffer собирает отправленные пользователем данные, которые будут переданы для анализа отделу информационной безопасности сразу же, как только лэптоп снова окажется в корпоративной сети.

Также SearchInform EndpointSniffer эффективен при работе на стационарных рабочих станциях, представляя специалисту по безопасности возможность осуществлять перехват всего пользовательского трафика непосредственно на клиентской машине, включая защищенные с помощью шифрования исходящие и входящие почтовые сообщения.

Решение позворляет контролировать пользователей, работающий на терминальных серверах, в том числе без установки агентов на клиентские компьютеры (достаточно установки агента на терминальный сервер).

Также SearchInform EndpointSniffer позволяет осуществлять блокировку сообщений, передаваемых сотрудниками по электронной почте.

Контроль активности сотрудников по различным каналам передачи данных на уровне узлов сети не обеспечивает в полной мере контроль над информацией, передаваемой сотрудниками за пределы организации.

В организациях все более активно применяются портативные устройства, в частности, ноутбуки и нетбуки, нередко служащие заменой привычным рабочим станциям сотрудников. Контролировать эти компьютеры при их работе за пределами корпоративной сети (например, в командировках, на презентациях, деловых встречах и т.д.) при использовании стандартных сетевых контролирующих средств нет никакой возможности.

Также важной проблемой является контроль защищенных канадов передачи данных, в частности, электронной почты, передаваемой по защищенному с помощью SSL-шифрования каналу. Письма, отправляемые и принимаемые по защищенному с помощью SSL каналу, представляют особый интерес для отдела информационной безопасности, поскольку вероятность использования шифрования для передачи сотрудниками конфиденциальной информации за пределы организации особенно высока.

Некоторые стандарты безопасности требуют внедрения систем, поддерживающих блокировку передаваемых почтовых сообщений. Несмотря на то, что остановка передачи сообщений является весьма неоднозначной мерой, способной нарушить непрерывность бизнес-процессов в организации, нередко возникает необходимость во внедрении именно такой системы.

В любой компании есть ряд документов, которые не должны стать доступными широкой публике ни при каких обстоятельствах. Именно для защиты очень небольшого числа подобных документов и являются приемлемыми риски, связанные с использованием блокировки почтовых сообщений в организации.

SearchInform EndpointSniffer позволяет контролировать следующие каналы:

• Электронна почта;
• системы мгновенного обмена сообщениями (ICQ, Jabber, MSN Messenger);
• FTP;
• Skype;
• Внешние носители данных (CD/DVD, USB);
• HTTP (включая Web-почту);
• Перехватываются документы, переданные на печать.

Также осуществляется контроль действий пользователя на общедоступных сетевых ресурсах и мониторинг экрана пользователя.

В случае, когда сотрудник не подключается к корпоративной сети длительное время и SearchInform EndpointSniffer исчерпывает отведенное для хранения перехваченных данных дисковое пространство, новые данные автоматически записываются поверх более старых.

Модуль SearchInform EndpointSniffer, устанавливаемый на рабочие станции или лэптопы, тщательно скрывает свое присутствие на компьютере пользователя, и обнаружить его присутствие непросто даже квалифицированному специалисту.

Важной особенностью SearchInform EndpointSniffer является возможность полноценного мониторинга действий пользователей на терминальных серверах, так как при других методах перехвата пользовательского трафика в таких сетях затруднена идентификация пользователя.

Имеется возможность поиска по атрибуту зашифрованных данных, что позволит специалистам по безопасности отслеживать подозрительные файлы, принимаемые и передаваемые пользователями. Для аудита установленного на компьютере пользователя модуля используется собственный агент.

EndpointSniffer поддерживает помещение почтовых сообщений, содержащих подозрительный текст или вложения, в карантин. При этом в карантине отображается перечень всех заблокированных сообщений. Специалист по информационной безопасности должен, просмотрев эти письма, принять решение о разрешении или запрете их дальнейшей передачи адресату.

Можно также настроить доставку уведомления о новых сообщениях в карантине на указанный специалистом по информационной безопасности адрес.

Модуль EndpointSniffer устанавливается на рабочую станцию сотрудника, действия которого планируется контролировать. Через единую консоль AlertCenter сотрудник, отвечающий за информационную безопасность, имеет возможность управлять работой модуля EndpointSniffer.

При попадании письма в карантин специалист по информационной безопасности получает уведомление об этом, после чего может просмотреть письмо и принять решение о возможности его дальнейшего движения к адресату.