Открыть сервис

Symantec Vontu

Symantec Vontu — это семейство программных продуктов для защиты конфиденциальных данных (Data Loss Prevention, DLP), разработанное компанией Symantec (ныне часть Broadcom). Система предназначена для обнаружения, мониторинга и предотвращения несанкционированной передачи, утечки или уничтожения конфиденциальной информации внутри корпоративных сетей, на конечных устройствах и в облачных сервисах. Продукт позволяет организациям контролировать движение данных, классифицировать их по степени важности и применять политики безопасности, соответствующие нормативным требованиям (например, GDPR, HIPAA, PCI DSS). В России решение Symantec Vontu использовалось в крупных компаниях и государственных учреждениях до введения санкционных ограничений и ухода западных вендоров с рынка.

История

Предпосылки создания

В начале 2000-х годов рост цифровизации бизнеса привёл к увеличению объёмов конфиденциальной информации, передаваемой по электронной почте, через веб-приложения и на съёмных носителях. Традиционные антивирусы и межсетевые экраны не могли эффективно анализировать содержимое данных и выявлять случаи их неправомерного использования. В 2004 году компания Vontu, основанная в США, представила одноимённое решение для предотвращения утечек данных, которое стало одним из первых коммерческих DLP-продуктов на рынке.

Поглощение Symantec

В 2007 году корпорация Symantec (организация признана нежелательной в РФ? — на момент написания статьи Symantec не входит в перечень нежелательных организаций Минюста РФ, однако её деятельность в России ограничена санкциями) приобрела компанию Vontu за 350 миллионов долларов. Целью сделки было усиление портфеля продуктов Symantec в области информационной безопасности. После интеграции технологий Vontu в линейку Symantec Endpoint Protection и другие корпоративные решения, продукт получил название Symantec Data Loss Prevention (Symantec DLP), хотя в профессиональной среде за ним сохранилось историческое название «Vontu». В 2019 году подразделение Symantec Enterprise Security было продано компании Broadcom, которая продолжила развитие DLP-решений.

Развитие и современное состояние

С 2010-х годов Symantec Vontu эволюционировал от локального серверного решения к облачной платформе с поддержкой SaaS-модели (Symantec Cloud DLP). В 2022 году, после ухода Broadcom с российского рынка, продукт перестал официально поддерживаться в РФ, однако его legacy-версии продолжают эксплуатироваться в некоторых организациях. На смену Symantec Vontu в России пришли отечественные DLP-системы, такие как Solar Dozor, InfoWatch Traffic Monitor и «СёрчИнформ КИБ».

Архитектура и компоненты

Symantec Vontu построен по модульной архитектуре, включающей несколько ключевых компонентов:

Сервер управления (Management Server)

Центральный элемент системы, отвечающий за хранение политик безопасности, журналов событий и конфигураций. Обеспечивает администрирование через веб-интерфейс и консоль управления.

Сетевой монитор (Network Monitor)

Анализирует трафик, проходящий через корпоративную сеть, включая протоколы SMTP, HTTP, HTTPS, FTP, IMAP и другие. Использует методы глубокого анализа пакетов (DPI) для выявления конфиденциальных данных в передаваемых сообщениях, вложениях и файлах.

Агент на конечных устройствах (Endpoint Agent)

Устанавливается на рабочие станции, ноутбуки и серверы. Контролирует действия пользователей: копирование данных на USB-накопители, запись на CD/DVD, отправку в буфер обмена, печать, а также передачу через мессенджеры и облачные хранилища. Агент может блокировать подозрительные операции в реальном времени.

Хранилище данных (Storage Server)

Служит для долгосрочного хранения инцидентов, журналов и копий перехваченных данных. Позволяет проводить ретроспективный анализ и расследование утечек.

Интеграционный модуль (Integration Module)

Обеспечивает взаимодействие с другими системами безопасности: SIEM (например, ArcSight, QRadar), системами управления доступом (IAM), а также с Active Directory для привязки политик к пользователям и группам.

Классификация и методы обнаружения

Symantec Vontu использует несколько методов для идентификации конфиденциальной информации:

Контентный анализ

  • Точное совпадение (Exact Data Matching, EDM): Сравнивает данные с эталонными образцами (например, база номеров кредитных карт, паспортных данных).
  • Регулярные выражения: Поиск по шаблонам (номера телефонов, ИНН, СНИЛС, банковские счета).
  • Индексация документов (Document Fingerprinting): Создание цифровых отпечатков для конфиденциальных файлов (договоры, отчёты) и обнаружение их копий или фрагментов.

Контекстный анализ

  • Анализ метаданных: автор, дата создания, уровень доступа, местоположение файла.
  • Поведенческий анализ: выявление аномалий (например, массовая отправка файлов одним пользователем, доступ к данным в нерабочее время).

Классификация по типу данных

  • Структурированные данные: базы данных, таблицы Excel, CSV-файлы.
  • Неструктурированные данные: текстовые документы, презентации, изображения (с распознаванием текста через OCR).
  • Мультимедиа: аудио- и видеофайлы (ограниченно, через анализ метаданных).

Применение

Symantec Vontu применяется в различных отраслях для соблюдения нормативных требований и защиты коммерческой тайны:

Финансовый сектор

Банки и страховые компании используют систему для предотвращения утечек персональных данных клиентов (ФЗ-152 «О персональных данных» в РФ, GDPR в ЕС), номеров счетов, кредитных карт и транзакций. Например, блокировка отправки выписок по электронной почте без шифрования.

Здравоохранение

Медицинские учреждения контролируют передачу электронных медицинских карт (EHR), результатов анализов и другой информации, защищённой HIPAA (США) или ФЗ-323 (РФ). Система может автоматически шифровать письма с диагнозами.

Промышленность и энергетика

Защита интеллектуальной собственности: чертежи, технологические регламенты, ноу-хау. Symantec Vontu блокирует копирование таких файлов на съёмные носители или их отправку на личные почтовые ящики.

Государственные учреждения

В России до 2022 года решение использовалось в органах власти для защиты государственной тайны и служебной информации ограниченного распространения. После введения санкций было рекомендовано перейти на отечественные аналоги.

Критика и ограничения

  • Сложность настройки: Для корректной работы требуется высокая квалификация администраторов, так как ложные срабатывания (false positives) могут парализовать бизнес-процессы.
  • Производительность: Агенты на конечных устройствах и сетевые мониторы могут замедлять работу систем, особенно при анализе больших объёмов данных.
  • Стоимость: Лицензирование Symantec Vontu является дорогостоящим, что делает его недоступным для малого и среднего бизнеса.
  • Ограничения в России: После ухода Broadcom обновления баз правил и техническая поддержка стали недоступны, что снижает эффективность защиты от новых угроз.
  • Проблемы с шифрованием: Система не всегда может анализировать данные, зашифрованные современными алгоритмами (например, AES-256), если ключи шифрования не предоставлены системе.

Интересные факты

  • Название «Vontu» происходит от латинского слова «vontus» (ветер), что символизирует скорость и невидимость утечки данных.
  • В 2010 году Symantec Vontu был использован для расследования утечки данных в компании Google, связанной с промышленным шпионажем.
  • Технология Document Fingerprinting, разработанная Vontu, позже была адаптирована для защиты авторских прав в системах управления цифровыми правами (DRM).

Источники

  • Symantec Data Loss Prevention (DLP) — официальная документация Broadcom (архив 2021 года).
  • С. А. Петренко, «Защита конфиденциальных данных в корпоративных сетях», 2015.
  • Отчёт Gartner Magic Quadrant for Data Loss Prevention, 2018–2020.
  • Материалы конференций Positive Technologies и InfoWatch по DLP-системам (2019–2022).
  • Федеральный закон № 152-ФЗ «О персональных данных» (РФ).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →