McAfee Host Data Loss Prevention



McAfee Host DLP состоит из агентских программ, устанавливаемых на рабочие станции сотрудников, и сервера управления.

Принцип работы

Вычислительная часть решения McAfee Host DLP функционирует на уровне конечных рабочих станций заказчика. Для этого на каждый компьютер централизованно рассылается и устанавливается программа – агентский модуль McAfee Host DLP. Агент устойчив к выгрузке, - его невозможно деинсталлировать, даже имея права администратора.

Для обучения системе необходимо выделить папки (на файловом сервере), в которых будут расположены защищаемые файлы. Согласно заданной администратором безопасности в политике, на защищаемые документы «навешиваются» метки1.

Метки видны агентским программам McAfee Host DLP. Этот агент может ограничить отправку, запись на сменные носители, копирование в буфер и прочие операции, противоречащие установленным политикам для конкретного пользователя с конкретной меткой.

Локально метки работают вкупе с цифровыми отпечатками (для слежения не только за контейнером, но и контентом). При открытии или копировании с сервера секретного документа агентская программа McAfee Host DLP отследит метку документа, снимет локальные цифровые отпечатки, и будет защищать содержимое от передачи за пределы станции в соответствии с установленными политиками безопасности. Поэтому, даже копирование фрагмента защищаемого документа будут отслеживаться и созданный на основе этого фрагмента новый документ унаследует метку.

Архитектура

В существующую инфраструктуру должны быть установлены агентские модули на каждую рабочую станцию и установлен сервер управления:

 


 

На схемах отмечены «Управляющий» сервер McAfee ePolicy Orchestrator и установленные на компьютеры агентские модули McAfee Host DLP.

Если, например, отправить помеченный документ или его часть по почте или на сменный носитель McAfee не позволит (либо позволит, но отследит, - в зависимости от политика настроенной политики).

По результатам работы агентских программ на разных компьютерах собирается централизованно статистика инцидентов на управляющий сервер ePO для анализа офицером безопасности. 

Основная функциональность

Основные возможности решения заключаются в 10 правилах реакции, которые может выполнять клиент на рабочих станциях:

  1. Application File Access Protection Rule. Позволяет контролировать доступ пользователей (ведение логов) к конфиденциальной информации;
  2. Clipboard Protection Rule. Позволяет выполнять блокировку копирования в буфер обмена для определенного контента. К примеру, копирование информации через буфер обмена, содержащей словосочетание «финансовый отчет» из программы Excel в Word может быть запрещено;
  3. Email Protection Rule. Позволяет анализировать исходящие сообщения в электронной почте и блокировать утечку конфиденциальной информации;
  4. Network File System Protection Rule. Позволяет отслеживать перемещение конфиденциальной информации между контролируемыми компьютерами, а также ее копирование на сменные носители;
  5. Network Protection Rule. Позволяет блокировать передачу конфиденциальной информации через сетевые протоколы TCP\IP;
  6. Printing Protection Rule. Позволяет выполнять анализ и, в случае необходимости, блокировку печати документов, если контент отправленных на печать документов содержит конфиденциальную информацию;
  7. PDF/Image Writers Protection Rule. Позволяет выполнять анализ и, в случае необходимости, блокировку печати документов в файл или формат PDF;
  8. Removable Storage Protection Rule. Позволяет детектировать и в случае необходимости блокировать передачу на внешний носитель конфиденциальной информации;
  9. Screen Capture Protection Rule. Позволяет блокировать выполнение операции «Print Screen» для определенных приложений;
  10. Webpost Protection Rule. Позволяет перехватывать post-запросы в Internet Explorer – например, исходящие почтовые сообщения на веб-почте (mail.ru, yandex.ru).