План «Перехват»: как настроить гибридную DLP-систему

В большинстве DLP-систем на российском рынке определяющим элементом выступает сервер перехвата сетевого трафика, как правило, работающий в пассивном режиме. В таких системах практически всегда присутствует endpoint-агент для решения несовместимых с контролем трафика на уровне шлюза задач — контроля устройств и некоторых веб-сервисов и протоколов. Однако, наличие агента — еще не признак полноценной гибридной DLP, это всего лишь разнесение разных функций контроля по разным компонентам.

Ключевая задача серверного DLP-компонента, работающего с копией сетевого трафика организации в целом, состоит в контроле использования сотрудниками сетевых каналов передачи данных при нахождении пользователя внутри корпоративного периметра, включая сбор доказательной базы, обнаружение ИБ-инцидентов. В то же время endpoint-агенты гибридного DLP-решения призваны решать задачу контроля за использованием съемных накопителей, канала печати, сетевых приложений с проприетарном шифрованием. В этих задачах применяется контентная фильтрация в режиме реального времени для всех потенциальных каналов утечки данных в DLP-системах, претендующих на звание полнофункциональных агентов.

Первым таким примером гибридной DLP на российском рынке является обновленная версия DeviceLock DLP 8.3, дополненная серверным модулем DeviceLock EtherSensor. Гибридная DLP-система эффективно решает сразу несколько проблем и задач, стоящих перед службами информационной безопасности. Это мониторинг сетевого трафика с компьютеров и мобильных устройств, на которых по техническим причинам невозможно установить или эксплуатировать DLP-агент, либо снижение нагрузки на рабочие станции пользователей за счет раздельного контроля различных сетевых сервисов и протоколов на разных уровнях. Автоматическое переключение различных комбинаций DLP-политик для контроля сетевого трафика в агенте DeviceLock DLP в зависимости от наличия подключения к корпоративной сети и/или корпоративным серверам позволяет обеспечить чрезвычайно гибкий контроль пользователей. Например, на уровне агента при нахождении лэптопа в офисе сохраняется контроль устройств, принтеров и особо критичных сетевых приложений и сервисов, в том числе с применением контентной фильтрации в режиме реального времени, а контроль и инспекция других сетевых протоколов и сервисов возлагается на модуль EtherSensor. Единая база данных событийного протоколирования и теневого копирования, наполняемая событиями и данными, полученными при перехвате трафика с уровня сети и в результате контроля сетевых коммуникаций и устройств на рабочих станциях, позволяет выявлять инциденты информационной безопасности для широчайшего спектра потенциальных каналов утечки данных.

Типовые сценарии

Рассмотрим несколько типовых сценариев использования DeviceLock DLP как гибридной DLP-системы. Весьма распространенный сценарий, когда полноценный контроль сетевого трафика с блокировкой передачи данных невозможен или неприменим. Такая ситуация возникает при использовании в корпоративной сети гостевых компьютеров и мобильных устройств, а также для рабочих станций под управлением ОС Linux и MacOS. Кроме того, перехват и анализ сетевых коммуникаций непосредственно на рабочих станциях может быть невозможным или чрезмерно ресурсоемким на рабочих станциях со слабыми вычислительными мощностями. Решение задачи контроля сетевого трафика в таком сценарии обеспечивается перехватом и анализом трафика на уровне сети — прослушиванием трафика с зеркальных портов сервера, интеграцией с NGFW-устройствами и прокси-серверами, другими методами, не требующими установки агента на рабочих станциях, что с успехом обеспечивается сервером EtherSensor. При этом задача DLP-контроля периферийных устройств и портов рабочих станций выполняется агентом DeviceLock (на операционных системах Windows и MacOS), а в базе данных сервера DeviceLock Enterprise Server для централизованного анализа собираются события и данные как от EtherSensor в части объектов сетевого трафика, так и от агентов DeviceLock в части контроля устройств.

depositphotos202894268m2015-crop_600-400.jpg

Единая база данных событийного протоколирования и теневого копирования, наполняемая событиями и данными, полученными при перехвате трафика с уровня сети и в результате контроля сетевых коммуникаций и устройств на рабочих станциях, позволяет выявлять инциденты информационной безопасности для широчайшего спектра потенциальных каналов утечки данных

Второй типичный сценарий — мониторинг сетевых коммуникаций при недопустимости блокировки передачи данных по сети. В некоторых организациях задача контроля сетевого трафика ограничивается протоколированием и анализом архива перехваченных данных вследствие ряда факторов. Например, для реализации полноценного DLP-контроля с блокировкой утечки данных ограниченного доступа недостаточно ресурсов службы ИБ, или пассивный контроль определен руководством компании как достаточный вследствие уже введенных ограничений на использование сетевых коммуникаций в целом на уровне сетевого периметра, или руководство опасается риска вмешательства в выстроенные бизнес-процессы с сетевым обменом информацией. Известны случаи, когда организация не оценивает риски утечки данных как критичные для бизнеса, или, наконец, нет возможности классифицировать конфиденциальные данные либо определить критерии детектирования данных ограниченного доступа для применения механизмов контентной фильтрации и предотвращения утечки таких данных.

В таком сценарии использования DeviceLock DLP организация получает в свое распоряжение традиционную DLP-систему Enterprise-уровня, способную отслеживать и анализировать трафик на очень больших потоках (вплоть до анализа трафика от сотен тысяч сотрудников) с низкими затратами на развертывание и текущую эксплуатацию, а также незначительными требованиями по техническому оснащению. Решение в данном сценарии полностью соответствует предыдущему сценарию, но с той разницей, что при появлении необходимости обеспечить блокировку недопустимых попыток передачи данных ограниченного доступа, либо появляется понимание критериев выявления конфиденциальных данных и возможность использования контентной фильтрации. В таком случае данный сценарий перетекает уже в другую вариацию — применения полноценной гибридной DLP-системы для отдельных сотрудников, подразделений или в масштабах всей организации.

Сложные сценарии

Дальнейшее развитие логики комбинирования возможностей агентов DeviceLock и сервера EtherSensor приводит нас к более сложным в воплощении, но при этом намного более эффективным для предотвращения утечек конфиденциальных данных сценариям.

Прежде всего, это сценарий, предусматривающий раздельный контроль сетевых коммуникаций, когда в зависимости от текущего статуса подключения к корпоративной сети (доступность локального сетевого подключения, доступность контроллера домена, доступность DLP-сервера) может варьироваться степень актуальности доступа к корпоративной информации. Для решения подобных задач необходим гибкий подход к реализации защиты информации от утечек. Автоматическое переключение различных комбинаций DLP-политик для контроля сетевого трафика (различных комбинаций правил и параметров контроля) в агенте DeviceLock DLP в зависимости от наличия подключения к корпоративной сети и/или корпоративным серверам позволяет обеспечить чрезвычайно гибкий, раздельный контроль сетевых коммуникаций пользователей. Например, на уровне агента при нахождении лэптопа в офисе сохраняется контроль особо критичных сетевых приложений и сервисов, в том числе с применением контентной фильтрации в режиме реального времени в целях предотвращения утечки конфиденциальной информации, а инспекция других сетевых протоколов и сервисов возлагается на модуль EtherSensor. При переключении агента DeviceLock на защищаемой рабочей станции в офлайн-режим происходит автоматическое переключение политик на максимально необходимый уровень контроля сетевых коммуникаций с учетом возможной недоступности исходящего сетевого трафика с рабочей станции для сервера EtherSensor.

В результате раздельного контроля с применением автоматического переключения онлайн и офлайн-режимов в агенте DeviceLock с мониторингом трафика на уровне сервера EtherSensor достигается полноценный контроль сетевых коммуникаций вне зависимости от местонахождения и способа подключения к сети Интернет контролируемых компьютеров. Такой подход будет особенно продуктивным для контроля мобильных сотрудников, использующих ноутбуки и лэптопы для работы вне офиса.

Еще эффективнее будет сценарий селективного контроля сетевых коммуникаций. Благодаря совместному использованию функциональности endpoint-агента и технологий серверного перехвата сетевого трафика достигается вся полнота возможностей гибридной системы. Это наиболее мощный сценарий контроля сетевых коммуникаций из всех возможных на сегодня.

В таком сценарии наиболее критическая часть сетевых приложений, рассматриваемых как потенциальные каналы утечки конфиденциальных данных (например, мессенджеры с возможностью передачи файлов), равно как и локальные порты и устройства, контролируются агентом DeviceLock. В режиме реального времени агент анализирует содержимое процессов передачи данных ограниченного доступа (также на уровне агента, «в разрыв»). По результатам принимается решение о допустимости передачи, либо о создании теневой копии для значимых для целей расследования инцидентов, либо о направлении тревожного оповещения по факту срабатывания DLP-правила. Контроль прочих сетевых коммуникаций, рассматриваемых как имеющие меньшую степень риска с точки зрения противодействия утечки данным (когда для решения задач информационной безопасности достаточно мониторинга и анализа переданных данных, например, для серфинга веб-сайтов и сервисов поиска работы) выполняется сервером EtherSensor посредством перехвата и анализа сетевого трафика на уровне периметра. Кратко говоря, данную модель контроля сетевого трафика можно описать как «Мониторинг всего трафика (EtherSensor) + Селективная блокировка недопустимых попыток (агент DeviceLock DLP)». Что важно, политики включения или отмены блокировки любых сетевых протоколов и сервисов как на уровне контекста, так в контентно-зависимых правилах, могут быть изменены и применены службой ИБ в любое время без перезагрузки пользовательских рабочих станций и без участия пользователя.

В таком сценарии достигается качественный баланс возможностей и рисков: риски, связанные с блокировкой, делегируются агентам на защищаемых компьютерах, при этом задачи мониторинга сетевого трафика и детектирования событий безопасности по всей сети в целом поручаются серверу EtherSensor.

Если пойти дальше, можно рассмотреть — и достаточно легко реализовать! — наиболее мощный сценарий использования современной гибридной DLP-системы, когда помимо возможностей разделения уровней контроля (мониторинга и блокирования передачи данных) между агентом и сервером DLP-системы DeviceLock DLP, добавляется избирательный подход для различных пользователей и групп пользователей, либо для разных компьютеров и групп компьютеров.

В таком варианте полнофункциональные агенты DeviceLock выполняют непосредственно и только на защищаемых рабочих станциях все DLP-функции (контроль доступа, протоколирование, тревожные оповещения) и только для указанных пользователей и групп пользователей. Сетевая активность пользователей и групп, которым для выполнения бизнес-задач требуется свободный доступ к различным каналам сетевых коммуникаций, отслеживается сервером EtherSensor посредством перехвата и анализа сетевого трафика на уровне периметра.

Данный сценарий также является крайне продуктивным для контроля так называемых групп риска, когда на агентах DeviceLock создаются специальные наборы политик для DLP-контроля различных учетных записей, а переключение применяемых политик выполняется в реальном времени путем включения таких пользователей в группу пользователей, соответствующих той или иной группе риска.

В любом сценарии одновременного использования серверного модуля DeviceLock EtherSensor в сочетании с Endpoint-компонентами комплекса DeviceLock DLP в режиме гибридной DLP-системы открывается уникальная возможность создавать гибкие DLP-политики с различными уровнями контроля и реакции на события. Одновременное применение двух различных DLP-архитектур (сетевой и агентской) для контроля сетевого трафика значительно повышает надежность решения задачи предотвращения и выявления утечек информации.

Полный текст статьи читайте на CNews