Журнал "Information Security/ Информационная безопасность" #5, 2018

Ключевая задача серверного DLP-ком- понента, работающего с копией сетевого трафика организации в целом, состоит в контроле использования сотрудниками сетевых каналов передачи данных при нахождении пользователя внутри корпо- ративного периметра, включая сбор дока- зательной базы, обнаружение ИБ-инци- дентов. В то же время endpoint-агенты гибридного DLP-решения призваны решать задачу контроля за использова- нием съемных накопителей, канала печа- ти, сетевых приложений с проприетарным шифрованием, причем с применением контентной фильтрации в режиме реаль- ного времени для всех потенциальных каналов утечки данных в DLP-системах, претендующих на звание полнофункцио- нальных агентов. Первым таким примером гибридной DLP на российском рынке является обнов- ленная версия DeviceLock DLP 8.3, допол- ненная серверным модулем DeviceLock EtherSensor. Гибридная DLP-система эффективно решает сразу несколько проблем и задач, стоящих перед служба- ми информационной безопасности: мони- торинга сетевого трафика компьютеров и мобильных устройств, на которых по техническим причинам невозможно уста- новить или эксплуатировать DLP-агент, либо снижения нагрузки на рабочие стан- ции пользователей за счет раздельного контроля сетевых сервисов и протоколов на разных уровнях. Автоматическое пере- ключение различных комбинаций DLP- политик для контроля сетевого трафика в агенте DeviceLock DLP в зависимости от наличия подключения к корпоративной сети и/или корпоративным серверам поз- воляет обеспечить чрезвычайно гибкий контроль пользователей, когда, например, на уровне агента при нахождении лэптопа в офисе сохраняется контроль устройств, принтеров и особо критичных сетевых приложений и сервисов, в том числе с применением контентной фильтрации в режиме реального времени, а контроль и инспекция других сетевых протоколов и сервисов возлагается на модуль EtherSensor. Единая база данных собы- тийного протоколирования и теневого копирования, наполняемая событиями и данными, полученными при перехвате трафика с уровня сети и в результате контроля сетевых коммуникаций и устройств на рабочих станциях, позволяет выявлять инциденты информационной безопасности для широчайшего спектра потенциальных каналов утечки данных. Рассмотрим несколько типовых сцена- риев использования DeviceLock DLP как гибридной DLP-системы. Наиболее про- стым является весьма распространенный сценарий, когда полноценный контроль сетевого трафика с блокировкой пере- дачи данных невозможен или неприме- ним. Такая ситуация возникает при использовании в корпоративной сети гостевых компьютеров и мобильных устройств, а также для рабочих станций под управлением ОС Linux и MacOS. Кроме того, перехват и анализ сетевых коммуникаций непосредственно на рабо- чих станциях может быть невозможным или чрезмерно ресурсоемким на рабочих станциях со слабыми вычислительными мощностями. Решение задачи контроля сетевого трафика в таком сценарии обес- печивается перехватом и анализом тра- фика на уровне сети – прослушиванием трафика с зеркальных портов сервера, интеграцией с NGFW-устройствами и прокси-серверами, другими методами, не требующими установки агента на рабочих станциях, что с успехом обес- печивается сервером EtherSensor. При этом задача DLP-контроля периферийных устройств и портов рабочих станций выполняется агентом DeviceLock (на опе- рационных системах Windows и MacOS), а в базе данных сервера DeviceLock Enterprise Server для централизованного анализа собираются события и данные как от EtherSensor в части объектов сете- вого трафика, так и от агентов DeviceLock в части контроля устройств. Второй типичный сценарий – монито- ринг сетевых коммуникаций при недо- пустимости блокировки передачи данных по сети. В некоторых организациях зада- ча контроля сетевого трафика ограничи- вается протоколированием и анализом архива перехваченных данных вслед- ствие ряда факторов. Например, для реализации полноценного DLP-контроля с блокировкой утечки данных ограни- ченного доступа недостаточно ресурсов службы ИБ, или пассивный контроль определен руководством компании как достаточный вследствие уже введенных ограничений на использование сетевых коммуникаций в целом на уровне сете- вого периметра, или руководство опа- сается риска вмешательства в выстроен- ные бизнес-процессы с сетевым обменом информацией. Известны случаи, когда организация не оценивает риски утечки данных как критичные для бизнеса или, наконец, нет возможности классифици- ровать конфиденциальные данные либо определить критерии детектирования данных ограниченного доступа для при- 40 • ТЕХНОЛОГИИ DeviceLock DLP как современная гибридная DLP-система дея полноценной гибридной DLP-системы, позволяющей обеспечить надежную защиту от утечек данных и мониторинг сетевого трафика на широчайшем спектре каналов передачи данных, состоит том, чтобы эффективно использовать сильные стороны сетецентричной и endpoint DLP-архитектур в различных сценариях и в разных постановках задачи предотвращения и контроля за утечками данных. В большинстве DLP-систем, представленных на российском рынке, определяющим выступает сервер перехвата сетевого трафика, как правило работающий в пассивном режиме, и практически всегда присутствует endpoint-агент для решения несовместимых с контролем трафика на уровне шлюза задач: контроля устройств и некоторых Web-сервисов и протоколов. Однако наличие в системе агента – еще не признак полноценной гибридной DLP, это всего лишь разнесение разных функций контроля по разным компонентам. И Сергей Вахонин, директор по решениям DeviceLock, Inc. (“Смарт Лайн Инк")