McAfee DLP Endpoint 9.3: серйозний підхід до захисту від витоків інформації

Серед великого списку нововведень складно виділити ключові, оскільки кожна з нових можливостей є вагомим аргументом у боротьбі з випадковими або навмисними витоками.

У першу чергу варто згадати підтримку серверних ОС MS Windows. Нова версія DLP Endpoint забезпечує повноцінний функціонал, як при розгортанні на «десктопні» редакції (XP, Vista, 7, 8) так і для Windows Server 2003, 2008, 2012. Таким чином, забезпечується не тільки контроль дій користувачів на робочих станціях, а й контроль дій співробітників ІТ-департаменту на серверах.

Однак на цьому розробники не зупинилися і оснастили DLP Endpoint підтримкою служб терміналів (RDS) і віртуалізованих робочих середовищ (VDI), таких як Citrix і VMware. Дана можливість дозволяє поширити захист від витоків на тонкі клієнти і термінальні сервери, які сучасний бізнес широко використовує в ІТ-інфраструктурі.

Якщо говорити про технічну частину перехоплення і аналізу інформації, то серед нововведень слід виділити поліпшення функцій «Захист знімків екрану» і «Захист буфера обміну». Тепер DLP агент контролює стан не тільки обробника системної функції Print Screen, а й стороннє ПЗ, яке користувачі можуть використовувати для створення знімків екрану. Функція «Захист буфера обміну» тепер дозволяє не тільки блокувати або відслідковувати спробу скопіювати частину інформації з програми, але і відстежує спробу вставити інформацію в певний додаток. Це нововведення дозволяє точніше регулювати роботу буфера обміну, дозволяючи адміністратору DLP системи відштовхуватися як від «білого» списку додатків (для яких використання буфера обміну не блокується) так і від «чорного».

Крім того, була вдосконалена робота підсистеми захисту знімних носіїв. У новій версії механізм перевірки аналізує функції Windows API (такі як MoveFile і CopyFile) і призупиняє передачу контенту до тих пір, поки передані дані не пройдуть перевірку. Завдяки цьому, копійована інформація буде записана на носій тільки після завершення перевірки.

Розробники також додали кілька нових правил захисту для несистемних жорстких дисків і для томів TrueCypt. Нові правила дозволяють блокувати, відстежувати або переводити підключені до системи (незнімні 2,5 і 3,5) жорсткі диски / томи TrueCrypt в режим «тільки читання». Ця функція дозволяє контролювати і за необхідності забороняти персоналу зберігати корпоративну інформацію на не довірених жорстких дисках або крипто контейнерах.

Правило захисту публікації інформації в Web було посилено завдяки переробленому оброблювачу браузерів. Тепер McAfee DLP Endpoint сумісний з останніми актуальними браузерами і не залежить від виходу оновлень, тобто захист залишається при оновленні ПЗ.

Функції генерації при розблокуванні (обхід агента) і видалення агента були переміщені в окремий пункт меню Служба підтримки (Help Desk). Завдяки чому тепер використання цих функцій може бути делеговане окремому співробітнику департаменту ІБ. Доступ до функцій по роботі з інцидентами (призначення відповідальних і контроль) також може бути організований на основі ролей. Призначення рецензентів і завдань може відбуватися як в автоматичному, так і в ручному режимі.

Система роботи з інцидентами була перероблена. Для підвищення безпеки було вирішено відмовитися від використання служби Windows Communication Foundation (WCF). Консоль McAfee DLP Monitor була замінена на Диспетчер подій DLP, інтерфейс якого дозволяє гнучко структурувати і фільтрувати інциденти, що надходять.

Інтерфейс клієнтського модуля також був змінений. Тепер у ньому відображається історія блокувань, що спрацювали і статус завдань Discovery. Також виводитися інформація про версію політик і конфігурації агента з тимчасовим штампом, що дозволяє адміністраторам системи контролювати поширення і оновлення політик на кінцевих точках.

Програмне забезпечення McAfee DLP Endpoint 9.3 сумісне з McAfee Agent 4.8.0 і єдиною консоллю управління ePolicy Orchestrator v4.6.6 - 5.0.