C интеграцией архиватора ARZip и DLP InfoWatch Traffic Monitor стало возможным автоматически проверять запароленные архивы. Решение, которое это обеспечивает, и расширяет таким образом функциональность DLP – архиватор ARZip, – окупается в компаниях в считаные месяцы. Но обо всем по порядку.

Еще вчера безопаснику, эксплуатирующему систему защиты от утечек данных (DLP), немалую головную боль доставляли запароленные архивы. Дело в том, что раньше DLP-система детектировала такие архивы в трафике, но ответить на главный вопрос «Что же содержится в архиве?» не могла. Офицеры безопасности вынуждены были вручную разбирать подобные карантинные файлы с тем, чтобы исключить утечки в них чувствительной для бизнеса информации. По статистике компаний, от момента отправки архива в карантин до принятия по нему решения проходит в среднем 1,5 дня. Учитывая, что число подобных задач далеко не единичное, времени на это уходит немало. Это задерживает отправки писем адресатам, и даже опытный сотрудник службы безопасности может порой не заметить в архиве запрещенные к отправке данные, либо согласовать отправку файла по ошибке.

Решить проблему могла автоматизация, но задача оказалась непростой. Эксперты неслучайно говорят о том, что «вероятность того, что DLP-системы начнут со временем подбирать пароли к архивам, расшифровывать их на лету и анализировать содержимое, стремится к нулю, это связано со слишком высокими требованиями к вычислительным мощностям и скорости обработки данных в потоке». Раньше для решения этой проблемы компании могли покупать базу наиболее часто встречающихся паролей, но это позволяло DLP вскрывать примерно пятую часть всех запароленных архивов. Тогда как архиватор ARZip, работающий в связке с DLP, решает эту проблему на 100%.

Что изменила интеграция решений ARinteg и InfoWatch

В июне 2024 года ARinteg и ГК InfoWatch провели тестирование своих продуктов – архиватора ARZip и DLP-системы InfoWatch Traffic Monitor. Оно показало, что интеграция решений позволяет компаниям автоматизировать процесс проверки защищенных паролем архивов, которые отправляются внешним получателям из корпоративной сети, и тем самым исключить утечки данных через них.

В итоге данные защищаются более эффективно: компании повышают свою кибербезопасность и могут более рационально использовать имеющиеся ресурсы.

«Защищенные паролем архивы – один из распространенных каналов утечек конфиденциальной информации. Совместное использование решений ARZip и InfoWatch Traffic Monitor позволяет закрыть потенциальный риск, обеспечив возможность контролировать архивы в автоматическом режиме, и сократить операционные затраты на обработку подобных инцидентов», – отмечает Тимур Галиулин, менеджер по развитию продуктов ГК InfoWatch.

Пилотное внедрение такой интеграции успешно прошло в частном учреждении «Цифрум», входящем в структуру ГК «Росатом», и сейчас оно продолжает развивать этот проект. 

«Мы можем интегрировать архиватор ARZip по API с любой DLP-системой. Уникальность нашего совместного проекта с InfoWatch заключается в том, что данная интеграция двусторонняя, решение доставляется заказчику уже «в коробке». Более того, сегодня мы обсуждаем с коллегами дальнейшие возможности коллаборации», – прокомментировал коммерческий директор ARinteg Дмитрий Слободенюк.

Как DLP научили «видеть архивы насквозь»

Для того чтобы архиватор ARZip позволял DLP-системам контролировать все запароленные архивы, организация принимает для себя решение о том, что ARZip становится ее единственным корпоративным архиватором. Тогда все 100% запароленных архивных файлов, созданных внутри компании, DLP получает возможность открывать и изучать их содержимое в автоматическом режиме.

Архиватор ARZip по API состыкуется с DLP. При создании архива с паролем ARZip передает на сервер паролей ID архива и используемый пароль. InfoWatch Traffic Monitor обнаруживает защищенный архив в потоке данных в корпоративной сети и направляет его ARZip для открытия. Пароль архива ARZip находит по ID на сервере-паролей, дополнительном сервисе, поставляемом ARinteg. После этого DLP получает распакованные данные, которые проверяет в соответствии с политиками безопасности. Если в запароленных архивах нет ничего недозволенного, то файл отправляется адресату. В противном случае DLP направит файл в карантин и оповестит об этом сотрудника службы безопасности.

Что еще стоит знать про ARZip

Собственная разработка ARinteg – архиватор ARZip –  первое и единственное в Реестре отечественного ПО решение, которое благодаря совместной работе с наиболее распространенными российскими DLP-системами совмещает в себе возможности для работы с файловыми архивами с функциональностью противодействия утечкам данных. Работающие в связке ARZip и DLP автоматизируют проверку содержимого архивов, отправляемых за пределы ИБ-периметра. ARZip зарегистрирован под №15721 в реестре отечественного ПО.

При этом ARZip – коробочное решение, которое достаточно просто внедрить. Работает на ОС: Windows, Linux Debian, Astra Linux, Альт, MacOS (в ближайшем будущем и на РЕД ОС) и использует собственный формат ARZ.

Для обеспечения совместимости с ранее используемыми форматами архивов ARZip распаковывает самые популярные их них: ZIP, RAR, 7z, TAR, TAR.gz, ARJ, упаковывает: ZIP, 7z, TAR, TAR.GZ. Клиентская часть приложения обладает интуитивно понятным интерфейсом.

Благодаря современным алгоритмам ARZip обеспечивает эффективность сжатия данных на уровне лучших мировых решений. При создании архивов в нем достаточно выбрать тип данных (рабочие файлы, медиа, текстовые, базы данных и т.п.), которые сжимаются, и ARZip сам подберет наиболее эффективный метод сжатия.

ARZip позволяет работать c разными форматами архивов, запускать программы из архива, сжимать без потерь файлы в единый файл-архив для удобства переноса и хранения данных. Среди его допфункций можно отметить возможность добавлять архивные комментарии.

ARZip мультиязычен и легко может переключаться с одного языка на другой:

Выгоды от внедрения

Стоимость годовой подписки архиватора ARZip, работающего в связке с DLP, сопоставима со средней зарплатой за месяц сотрудника ИБ. Окупается решение, как правило, за 1-3 месяца (зависит от того, какой объем запароленных архивов уходит из компании и сколько времени требовал их ручной разбор).

«С ARZip фактически вдвое может повыситься эффективность работы службы информационной безопасности, в чем мы могли убедиться при внедрении этого продукта у одного из наших заказчиков, – говорит Дмитрий Слободенюк. – С переходом на ARZip разбором «проблемных» файлов в компании там стал заниматься только один сотрудник вместо двух, поэтому еще одного они смогли задействовать на другом участке. При этом сам ARZip окупился за три месяца».

Помимо автоматизации работы службы информационной безопасности, ARZip позволяет снизить риски, свойственные человеческому фактору, минимизировать риски штрафов, в т.ч. за утечки персональных данных, санкции за которые законодатели готовятся ужесточить.

Использование ARZip будет способствовать и тому, что все большее число компаний предпочтут устанавливать DLP «в разрыв». Тогда система сразу блокирует передачу той информации, которая не должна уйти за пределы организации, что позволяет моментально предотвращать утечки конфиденциальной информации.

ARinteg продолжит расширять функциональность архиватора ARZip и интегрировать его с другими, наиболее распространенными отечественными DLP-системами.

Если вам интересно опробовать решение, оставьте запрос на сайте ARinteg и получите демоверсию программы ARZip /раздел «Решения» – «Собственные разработки» – Архиватор ARZip/.   

Материал также опубликован в печатной версии Национального банковского журнала (июль – август 2024)