Подписаться
Читать в телеграм
Текущая версия «Дозор-Джет» – 5.0 – результат планомерного развития версии 4.0, которая служила и продолжает служить офицерам безопасности многих крупных компаний в России и не только. Версия 4.0, ее архитектура и спектр возможностей были разработаны в 2008 году. Часть существующих инсталляций системы, работающих на 3.0, была постепенно модернизирована до 4.0, при необходимости обновлению ПО сопутствовало обновление оборудования и инфраструктуры подключения.
Последовательное развитие «Дозор-Джет» 4.0 шло до конца 2012 года, но далеко не все, на что способны DLP-системы, можно было удачно реализовать в имеющейся архитектуре. В определенный момент было принято решение готовить к выпуску новую большую версию комплекса, которая позволила бы заложить фундамент для развития нашей технологии обработки информационных потоков на следующие несколько лет.
Что же такое «Дозор-Джет» 5.0 по сравнению с предыдущей версией? Легко заметить новый интерфейс пользователя, который, тем не менее, не потребует значительного времени на освоение у тех, кто уже был знаком с решением. Полностью обновленная технология работы с интерфейсом – это вершина того айсберга изменений, которые удалось реализовать при выпуске новой версии.
Практически все подсистемы в «Дозор-Джет» 5.0 серьезно переработаны с учетом большого списка пожеланий компаний и инженеров, работающих с комплексом. Подсистема фильтрации теперь отличает сообщения из разных источников и автоматически выполняет ряд действий, которые ранее приходилось описывать в политике, например, определение направлений передачи.
Стало возможно интегрировать средства фильтрации с внешними источниками данных, в том числе нестандартными – не только LDAP. Система управления позволяет контролировать настройки и состояние всех компонентов комплекса, обеспечивая четкий режим управления даже в случае аппаратных проблем. Мы постарались реализовать новую архитектуру с расчетом на отсутствие единых точек отказа, а также обеспечить возможность обслуживания без полной остановки. Подсистема поиска и работы с архивом позволяет удобнее, чем раньше, работать с отчетностью, различных отчетов стало больше, а трудоемкость создания запросов удалось снизить с помощью дополнительных, быстрых форм поиска.
За время существования версии 4.0 было осуществлено великое множество ее внедрений, а еще больше – пилотных демонстраций системы. Это позволило накопить огромный опыт и аккумулировать пожелания компаний к решениям подобного класса. то, что компании хотят от «Дозор-Джет», превышает стандартные возможности систем DLP, а в некоторых сценариях и противоречит им. Мы постарались учесть пожелания в версии 5.0
Значительные усилия были направлены на увеличение эффективности и мощности подсистемы хранения. Нам удалось реализовать пожелания компаний и достичь серьезного увеличения плотности хранения информации за счет автоматического сжатия и использования специально разработанных средств. Радует, что при этом удалось снизить нагрузку на серверы фильтрации и базы данных, увеличив пиковую и среднюю производительность архивации на аналогичном оборудовании по сравнению с 4.0. Чтобы облегчить работу по обслуживанию системы, мы реализовали средства ротации данных в архиве в автоматическом режиме, а также добились обратной совместимости по формату хранения без ограничений, которые накладывают СУБД.
Серьезные успехи достигнуты в рамках задачи по интеграции контроля разных источников информации в рамках одной системы «Дозор-Джет». В современной версии все возможные типы событий можно обрабатывать в одном архиве. Средства политики поддерживают этот режим и предоставляют офицеру безопасности удобные инструменты контроля содержимого (в том числе идентификаторов, таких как СНИЛС, номера паспортов, кредитных карт и др.), цифровые отпечатки, необходимые средства разделения полномочий по доступу к данным архива. Кроме того, система при работе способна учитывать морфологические особенности русского языка. На основе методов глубокого анализа содержимого реализованы такие инструменты, как поиск похожих документов в архиве, работа политики по ключевым фразам и выражениям.
В 2012 году мы реализовали агент на рабочих станциях. Это тот компонент, которого ранее в «Дозор-Джет» не было, он заменялся интеграцией с решениями третьих производителей. Мы добились контроля над современными, актуальными для сотрудников отделов ИБ каналами утечек, такими как Skype, системы обмена файлами (Dropbox и др.), реализовали контроль https-соединений на агенте. Сенсор пассивного перехвата позволяет обрабатывать потоки до 10 Gbps и в новой версии реализует дополнительные наборы сигнатур для новых источников, например, перехват данных из Lotus Notes.
За время существования версии 4.0 было осуществлено великое множество ее внедрений, а еще больше – пилотных демонстраций системы. Это позволило накопить огромный опыт и аккумулировать пожелания компаний к решениям подобного класса. То, что компании хотят от «Дозор-Джет», превышает стандартные возможности систем DLP, а в некоторых сценариях и противоречит им. Мы постарались учесть пожелания в версии 5.0. Не все эти возможности в настоящий момент доступны в продукте в полной мере. Как и раньше, новая версия – в первую очередь архитектурный фундамент для дальнейшего развития.
Если говорить о вариантах применения «Дозор-Джет», спектр возможных сценариев тоже увеличился. В версии 5.0 стали доступны сценарии работы в режиме облачного сервиса, системы по требованию, системы для расследований инцидентов.
Развитие на этом не останавливается, и картина системы, которая сейчас представляется в рамках технического проекта, радует. Как и раньше, мы сможем без радикальных противоречий с архитектурой системы добавлять реализации разных сценариев в процессе развития продукта.
Уже сейчас команда «Дозор-Джет» работает над новой версией, в которой станет доступно больше возможностей по глубокому анализу событий в сети, на рабочих станциях, в базах данных, почтового и другого трафика. Мы сосредоточимся на актуальных задачах, которые внешний мир предъявляет к системам DLP и управлению информационными потоками: большие массивы данных, большее время хранения, меньшее время на реакцию и широкие пожелания к функционалу, надежности и производительности. Конечно, потоки данных и требуемые сроки хранения в 2013 году возрастут по сравнению с прошлым. Модернизация с версии 4.0 на 5.0 может повлечь за собой модернизацию оборудования, особенно, если инсталляция 4.0 была развернута несколько лет назад на предыдущих поколениях железа и операционных систем.
Уже сейчас мы получили возможность интеграции с широким спектром внешних систем для проведения анализа событий, эту информацию можно использовать в политике обработки и при поиске. Мы будем развивать систему и дальше, чтобы офицеры безопасности смогли работать в более привычной обстановке – с людьми, а не с адресами, с компаниями, а не с доменами. Те возможности, которые мы сделали доступными в версии 5.0, показали, что мы услышали пожелания наших клиентов, новый функционал принимают с радостью и активно используют в работе.
