Привет, Хабр. В этом обзоре расскажем о новинках в нашем DLP‑решении для защиты от утечки данных с корпоративных компьютеров Кибер Протего 10.7. На самом деле новинка только одна, но она «тянет» на то, чтобы выпустить полноценный релиз.
Речь пойдет об интеграции Кибер Протего с анализатором сетевого трафика EtherSensor компании Microolap Technologies. Для тех, кто не знаком с нашим продуктом, рекомендуем прочитать обзор основных функций Кибер Протего, а также обзоры последних обновлений из версий 10.6 и 10.5.
DLP + NTA = Гибридная DLP-система
Итак, наша DLP‑система может быть интегрирована с анализатором сетевого трафика (Network Traffic Analyzer, NTA). Что это дает с точки зрения расширения функциональности и обеспечения дополнительной киберзащиты?
Интеграция дает возможность построить уникальную гибридную DLP‑систему в организации любого масштаба. Благодаря сочетанию двух различных архитектур (сетевой и агентской) для контроля сетевого трафика службы информационной безопасности получают возможность обеспечить сквозной контроль потоков корпоративной информации в различных сценариях, создавая гибкие DLP‑политики с различными уровнями контроля и реакции на события, повысить надежность системы контроля при решении задачи предотвращения и выявления утечек информации. Единая база данных событийного протоколирования и теневого копирования, наполняемая событиями и данными, полученными как при перехвате трафика, снятого в режиме зеркалирования с сетевых устройств (шлюзов) или продуктов (например, прокси‑серверов), так и в результате агентского контроля сетевых коммуникаций и устройств на рабочих станциях, позволяет выявлять инциденты информационной безопасности для широчайшего спектра потенциальных каналов утечки данных.
Это становится возможным благодаря тому, что EtherSensor использует REST API Кибер Протего для загрузки в базу данных событий и теневых копий в многопоточном режиме. Далее эти данные могут быть просмотрены и проанализированы в веб‑консоли Кибер Протего.
В модели гибридной DLP‑системы полнофункциональные агенты Кибер Протего могут выполнять все DLP‑функции, определенные администратором для определенных пользователей и групп, непосредственно на защищаемых рабочих станциях в целях недопущения утечки конфиденциальных данных. В то же время сетевая активность пользователей и групп, которым для выполнения бизнес‑задач требуется свободный доступ к некоторым каналам сетевых коммуникаций, отслеживается сервером EtherSensor посредством перехвата и анализа сетевого трафика на уровне сетевого периметра — EtherSensor извлекает из сетевого трафика события и объекты уровней с L2 по L7 и их метаданные.
Таким образом, два продукта, работающих независимо, дополняют функции друг друга и обеспечивают расширенную защиту от утечки данных.
Сценарии использования интегрированного решения
Рассмотрим несколько сценариев совместного использования Кибер Протего и EtherSensor.
Мониторинг сетевого трафика при невозможности использовать endpoint-агенты
Сценарий, когда полноценный контроль сетевого трафика с блокировкой передачи данных невозможен или неприменим, возникает при использовании в корпоративной сети гостевых компьютеров и мобильных устройств. Кроме того, перехват и анализ сетевых коммуникаций непосредственно на рабочих станциях может быть невозможным или чрезмерно ресурсоемким на рабочих станциях со слабыми вычислительными мощностями.
Решение задачи контроля (а точнее, сплошного мониторинга) сетевого трафика, причем создаваемого не только рабочими станциями — но и использующим корпоративные узлы связи мобильными устройствами и удаленными компьютерами, в таком сценарии обеспечивается перехватом и анализом трафика на уровне сети — прослушиванием трафика с зеркальных портов сервера, интеграцией с NGFW‑устройствами и прокси‑серверами, другими методами, не требующими установки агента на рабочих станциях, что с успехом обеспечивается сервером EtherSensor. При этом задача DLP‑контроля периферийных устройств и портов рабочих станций выполняется агентом Кибер Протего, а в базе данных сервера управления Кибер Протего для централизованного анализа собираются события и данные как от EtherSensor в части объектов сетевого трафика, так и от агентов Кибер Протего в части контроля устройств.
Мониторинг сетевых коммуникаций при недопустимости блокировки передачи данных по сети
В некоторых организациях задача контроля сетевого трафика ограничивается протоколированием и анализом архива перехваченных данных вследствие ряда факторов. Например, для реализации полноценного DLP‑контроля с блокировкой утечки данных ограниченного доступа недостаточно ресурсов службы ИБ. Или же «пассивный» контроль определен руководством компании как достаточный вследствие уже введенных ограничений на использование сетевых коммуникаций в целом на уровне сетевого периметра. Наконец, руководство опасается риска вмешательства в выстроенные бизнес‑процессы, завязанные на передачу данных по сети. Известны случаи, когда организация не оценивает риски утечки данных как критичные для бизнеса, или, нет возможности классифицировать конфиденциальные данные либо определить критерии детектирования данных ограниченного доступа для применения механизмов контентной фильтрации и предотвращения утечки таких данных.
В таком сценарии организация получает в свое распоряжение традиционную NTA‑систему Enterprise‑уровня, способную отслеживать и анализировать трафик на очень больших потоках (вплоть до анализа трафика от сотен тысяч сотрудников) с низкими затратами на развертывание и текущую эксплуатацию, а также незначительными требованиями по техническому оснащению, которая становится поставщиком данных для анализа в DLP‑системе. Решение в данном сценарии полностью соответствует предыдущему сценарию, но с той разницей, что при появлении необходимости обеспечить блокировку недопустимых попыток передачи данных ограниченного доступа, либо появляется понимание критериев выявления конфиденциальных данных и возможность использования контентной фильтрации, в работу включаются уже полнофункциональные DLP‑агенты. В таком случае данный сценарий перетекает уже в другую вариацию — применения полноценной гибридной DLP‑системы для отдельных сотрудников, подразделений или в масштабах всей организации.
Раздельный контроль сетевых коммуникаций в зависимости от подключения к корпоративной сети
В зависимости от текущего статуса подключения к корпоративной сети (доступность локального сетевого подключения, доступность контроллера домена, доступность DLP‑сервера) может варьироваться степень актуальности доступа к корпоративной информации, а следовательно, необходим гибкий подход к реализации задачи защиты информации от утечек. Автоматическое переключение различных комбинаций DLP‑политик для контроля сетевого трафика (различных комбинаций правил и параметров контроля) в агенте Кибер Протего в зависимости от наличия подключения к корпоративной сети и/или корпоративным серверам позволяет обеспечить чрезвычайно гибкий, раздельный контроль сетевых коммуникаций пользователей. Например, на уровне агента при нахождении ноутбука в офисе сохраняется контроль особо критичных сетевых приложений и сервисов, в том числе с применением контентной фильтрации в режиме реального времени в целях предотвращения утечки конфиденциальной информации, а инспекция других сетевых протоколов и сервисов возлагается на модуль EtherSensor. При изменении состояния сетевого подключения на защищаемой рабочей станции происходит автоматическое переключение политик DLP‑агента на максимально необходимый уровень контроля сетевых коммуникаций с учетом возможной недоступности исходящего сетевого трафика с рабочей станции для сервера EtherSensor.
В результате раздельного контроля с применением автоматического переключения online и offline режимов в агенте Кибер Протего с мониторингом трафика на уровне сервера EtherSensor достигается полноценный контроль сетевых коммуникаций вне зависимости от местонахождения и способа подключения к сети Интернет контролируемых компьютеров. Такой подход будет особенно продуктивным в решении задачи контроля мобильных сотрудников, использующих ноутбуки для работы вне офиса.
Выборочный контроль по типам сетевых коммуникаций
Выборочный контроль сетевых коммуникаций, когда благодаря совместному использованию функциональности endpoint‑агента и технологий серверного перехвата сетевого трафика достигается применение всей полноты возможностей гибридной системы, является наиболее эффективным сценарием контроля сетевых коммуникаций из всех возможных на сегодня.
В таком сценарии наиболее критическая часть сетевых приложений, рассматриваемых как потенциальные каналы утечки конфиденциальных данных (например, мессенджеры с возможностью передачи файлов), равно как и локальные порты и устройства, контролируются агентом Кибер Протего. Процессы передачи данных ограниченного доступа (также на уровне агента, «в разрыв») подвергаются анализу содержимого в режиме реального времени с принятием решений о допустимости передачи, либо о создании теневой копии для значимых инцидентов, либо о направлении тревожного оповещения по факту срабатывания DLP‑правила. Контроль прочих сетевых коммуникаций, рассматриваемых как имеющих меньшую степень риска с точки зрения противодействия утечке данным (когда для решения задач информационной безопасности достаточно мониторинга и анализа переданных данных, например, для серфинга веб‑сайтов и сервисов поиска работы) выполняется сервером EtherSensor посредством перехвата и анализа сетевого трафика на уровне периметра. Кратко говоря, данную модель контроля сетевого трафика можно описать как «Мониторинг нужной части трафика (EtherSensor) + выборочная блокировка недопустимых попыток (агент Кибер Протего)». Что важно, политики включения или отмены блокировки любых сетевых протоколов и сервисов как на уровне контекста, так в контентно‑зависимых правилах, могут быть изменены и применены службой ИБ в любое время без перезагрузки пользовательских рабочих станций и без участия пользователя.
В таком сценарии достигается качественный баланс возможностей и рисков: риски, связанные с блокировкой, делегируются агентам на защищаемых компьютерах, при этом задачи мониторинга сетевого трафика (в целом или отдельных типов коммуникаций, это также настраивается в EtherSensor) и выделения из него событий безопасности поручаются серверу EtherSensor.
Избирательный контроль пользователей и компьютеров
Данный вариант использования гибридной DLP-системы является логическим расширением и продолжением сценария, предполагающего выборочный контроль в зависимости от типа используемых сетевых коммуникаций. Здесь помимо возможностей разделения уровней контроля (мониторинга и блокирования передачи данных) между агентом и сервером DLP-системы Кибер Протего, добавляется избирательный подход для различных пользователей и групп пользователей, либо для разных компьютеров и групп компьютеров.
В данном сценарии полнофункциональные агенты Кибер Протего выполняют непосредственно и только на защищаемых рабочих станциях все DLP‑функции (контроль доступа, протоколирование, тревожные оповещения) и только для указанных пользователей и групп пользователей. Сетевая активность пользователей и групп, которым для выполнения бизнес‑задач требуется свободный доступ к различным каналам сетевых коммуникаций, отслеживается сервером EtherSensor посредством перехвата и анализа сетевого трафика на уровне периметра.
Данный сценарий также является крайне продуктивным для контроля так называемых групп риска, когда на агентах Кибер Протего создаются специальные наборы политик для DLP‑контроля различных учетных записей, а переключение применяемых политик выполняется в реальном времени путем включения таких пользователей в группу пользователей, соответствующих той или иной группе риска.
Попробуйте сами
Воспользуйтесь бесплатной 30-дневной версией, чтобы оценить все возможности нашей DLP‑системы.
Посмотрите вебинар
17 июля мы провели вебинар из серии «Быстрый старт», посвященный внедрению нашей DLP‑системы на отечественных ОС семейства Linux. Продемонстрировали:
установку и настройку серверных компонентов
установку агентов
возможности агентов — контроль устройств, сетевых протоколов, пользователей
Посмотреть запись вебинара можно здесь.