17 Декабря, 2014

Агентская DLP: взгляд на проблему изнутри

СёрчИнформ
Ни для кого не секрет, что DLP-системы работают на перехваченном ими трафике. А значит, именно перехват – это основа основ такой системы, поэтому поговорим о нем подробнее. Различают четыре наиболее распространенных способа перехвата трафика:


  1. Использование «отражающего» (зеркалируемого) свитча;
  2. Посредством интегрирования отдельного софта в корпоративные приложения (как в случае с электронными почтовыми сервисами MS Exchange, Lync или Lotus);
  3. Использование электронных приложений на конечных точках(агентов);
  4. Перехват информации «в разрыв».
Перехват «в разрыв» применяется редко, так как требует привлечения мощных аппаратных ресурсов, так как весь трафик перенаправляется на отдельный сервер, что может сильно повлиять на непрерывность бизнеса.

Рассмотрим вкратце различия между первым и третьим способами перехвата. Используя приложения-агенты, служба информационной безопасности может осуществлять тотальный контроль всех коммуникационных каналов. Это очень удобно, если в организации используется большое количество портативной электроники, то есть планшетных компьютеров, ноутбуков, нетбуков. Опять же, использование агентов уместно в том случае, когда нет возможности применить другие технологии перехвата, тот же зеркалируемый.

Из этого следует, что агенты могут стать для службы безопасности основным софтом. Наша практика говорит, что идеальный вариант ‑ установить агентов на всю технику, а уже затем определять индивидуальные настройки, связанные с персонализацией рабочего места.

Кстати говоря, «Контур информационной безопасности SearchInform» имеет еще несколько интересных «фишек». Так, можно осуществлять контроль электронных устройств категории смарт (телефонов, планшетов). В частности, КИБ не просто контролирует доступ к iPad или iPhone, но и осуществляет полноценный мониторинг устройства. DLP-система может отслеживать активность пользователя http и в IM-клиентах, в приложении Skype и даже в почтовом ящике Gmail.

Агентский перехват трафика имеет еще одно существенное преимущество перед другими способами информационного контроля – он мониторит абсолютно все каналы связи, даже закодированные. Поэтому агенты так легко перехватывают Skype-коннект. И все же у данной технологии перехвата есть один, хотя и незначительный, но все же минус. Агент КИБ – это все же программа. Хотя она не оказывает существенной нагрузки на железо и сеть, незаметна пользователю, но она все равно требует установки.

Сегодня приложения-агенты у служб информационной безопасности компаний пользуются большой популярностью.

Теперь давайте подведем некоторые итоги всего того, что было написано выше.

1. Плюсы сетевого перехвата:
  • Незаметен для пользователя
  • В теории, не зависит от операционки (http и в Африке http)
  • Не даёт нагрузку на конечную точку
2. Минусы сетевого перехвата:
  • Малое количество подконтрольных каналов (точнее, 5: AD, http, IM, FTP, почта)
  • "Бессилие" перед шифрованным трафиком (решается перехватом через интеграцию: интеграция с почтовыми серверами – с почтой, с прокси – https…)
3. Плюсы агентского перехвата:
  • Гораздо больший охват по каналам
  • Работа с шифрованным трафиком
4. Минусы агентского перехвата:

  • Зависимость от операционки (под каждую нужно писать свой агент)
  • Присутствие на конечной точке (а, значит, в теории агент может быть обнаружен).
Надеюсь, этот пост будет полезен всем, кто решает, что именно каким способом контролировать.