Журнал "Information Security/ Информационная безопасность" #5, 2018

менения механизмов контентной фильт- рации и предотвращения утечки таких данных. В этом сценарии использования Device- Lock DLP организация получает в свое распоряжение традиционную DLP-систе- му Enterprise-уровня, способную отсле- живать и анализировать трафик на очень больших потоках (вплоть до анализа трафика от сотен тысяч сотрудников) с низкими затратами на развертывание и текущую эксплуатацию, а также незначи- тельными требованиями к техническому оснащению. Решение в данном сценарии полностью соответствует предыдущему. Разница лишь в распознавании критери- ев конфиденциальных данных и возмож- ности использования контентной фильт- рации при попытке передачи данных ограниченного доступа. В таком случае данный сценарий перетекает уже в дру- гую вариацию – применение полноценной гибридной DLP-системы для контроля отдельных сотрудников, подразделений или в масштабах всей организации. Дальнейшее развитие логики комби- нирования возможностей агентов Device- Lock и сервера EtherSensor приводит нас к сценариям, более сложным в воплоще- нии, но при этом намного более эффек- тивным для предотвращения утечек кон- фиденциальных данных. Прежде всего это сценарий, пред- усматривающий раздельный контроль сетевых коммуникаций в соответствии с подключением к корпоративной сети, когда в зависимости от текущего статуса подключения (доступность локального сетевого подключения, доступность конт- роллера домена, доступность DLP-сер- вера) может варьироваться степень акту- альности доступа к корпоративной информации, а следовательно необхо- дим гибкий подход к реализации защиты информации от утечек. Автоматическое переключение различных комбинаций DLP-политик для контроля сетевого тра- фика (различных комбинаций правил и параметров контроля) в агенте Device- Lock DLP в зависимости от наличия подключения к корпоративной сети и/или корпоративным серверам позволяет обеспечить чрезвычайно гибкий, раз- дельный контроль сетевых коммуника- ций пользователей, когда, например, на уровне агента при нахождении лэптопа в офисе сохраняется контроль особо критичных сетевых приложений и сер- висов, в том числе с применением кон- тентной фильтрации в режиме реального времени, в целях предотвращения утеч- ки конфиденциальной информации, а инспекция других сетевых протоколов и сервисов возлагается на модуль EtherSensor. При переключении агента DeviceLock на защищаемой рабочей станции в режим офлайн происходит автоматическое переключение политик на максимально необходимый уровень контроля сетевых коммуникаций с уче- том возможной недоступности исходя- щего сетевого трафика с рабочей стан- ции для сервера EtherSensor. В результате раздельного контроля с применением автоматического пере- ключения онлайн- и офлайн-режимов в агенте DeviceLock с мониторингом тра- фика на уровне сервера EtherSensor достигается полноценный контроль сете- вых коммуникаций вне зависимости от местонахождения и способа подключения к сети Интернет контролируемых ком- пьютеров. Такой подход особенно про- дуктивен при решении задачи контроля мобильных сотрудников, использующих ноутбуки и лэптопы для работы вне офиса. Еще эффективнее будет сценарий селективного контроля сетевых комму- никаций, когда благодаря совместному использованию функциональности end- point-агента и технологий серверного перехвата сетевого трафика достигается извлечение всей полноты возможностей гибридной системы. Он является наибо- лее мощным сценарием контроля сете- вых коммуникаций из всех возможных на сегодня. В таком сценарии наиболее критиче- ская часть сетевых приложений, рас- сматриваемых как потенциальные кана- лы утечки конфиденциальных данных (например, мессенджеры с возможностью передачи файлов), равно как и локальные порты и устройства, контролируются аген- том DeviceLock. Процессы передачи дан- ных ограниченного доступа (также на уровне агента, "в разрыв") подвергаются в режиме реального времени анализу содержимого с принятием решений о допустимости передачи, либо о создании теневой копии для целей расследования инцидентов, либо о направлении тре- вожного оповещения по факту срабаты- вания DLP-правила. Контроль прочих сетевых коммуникаций, рассматривае- мых как имеющие меньшую степень риска с точки зрения противодействия утечке данных (когда для решения задач информационной безопасности доста- точно мониторинга и анализа переданных данных, например для серфинга Web- сайтов и сервисов поиска работы), выпол- няется сервером EtherSensor посредством перехвата и анализа сетевого трафика на уровне периметра. Кратко говоря, данную модель контроля сетевого тра- фика можно описать как мониторинг всего трафика (EtherSensor) + селектив- ная блокировка недопустимых попыток (агент DeviceLock DLP). Что важно, поли- тики включения или отмены блокировки любых сетевых протоко- лов и сервисов как на уровне контекста, так и в контентно-зависимых правилах могут быть изменены и применены службой ИБ в любое время без перезагрузки пользовательских рабо- чих станций и без участия пользователя. В таком сценарии достигается каче- ственный баланс возможностей и рисков: риски, связанные с блокировкой, деле- гируются агентам на защищаемых ком- пьютерах, при этом задачи мониторинга сетевого трафика и детектирования собы- тий безопасности по всей сети в целом поручаются серверу EtherSensor. Если пойти дальше, можно рассмотреть – и достаточно легко реализовать! – наи- более мощный сценарий использования современной гибридной DLP-системы, когда помимо возможностей разделения уровней контроля (мониторинга и блоки- рования передачи данных) между агентом и сервером DLP-системы DeviceLock DLP добавляется избирательный подход для различных пользователей и групп поль- зователей либо для разных компьютеров и групп компьютеров. В таком варианте полнофункциональ- ные агенты DeviceLock выполняют непо- средственно и только на защищаемых рабочих станциях все DLP-функции (конт- роль доступа, протоколирование, тре- вожные оповещения), только для ука- занных пользователей и групп пользова- телей. Сетевая активность пользователей и групп, которым для выполнения биз- нес-задач требуется свободный доступ к различным каналам сетевых коммуни- каций, отслеживается сервером EtherSen- sor посредством перехвата и анализа сетевого трафика на уровне периметра. Данный сценарий также является край- не продуктивным для контроля так назы- ваемых групп риска, когда на агентах DeviceLock создаются специальные набо- ры политик для DLP-контроля различных учетных записей, а переключение при- меняемых политик выполняется в реаль- ном времени путем включения таких пользователей в группу пользователей, соответствующих той или иной группе риска. В любом сценарии одновременного использования серверного модуля Device- Lock EtherSensor в сочетании с еndpoint- компонентами комплекса DeviceLock DLP в режиме гибридной DLP-системы откры- вается уникальная возможность созда- вать гибкие DLP-политики с различными уровнями контроля и реакции на события. Одновременное применение двух раз- личных DLP-архитектур (сетевой и агент- ской) для контроля сетевого трафика значительно повышает надежность реше- ния задачи предотвращения и выявления утечек информации. l • 41 ЗАЩИТА СЕТЕЙ www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ АО "СМАРТ ЛАЙН ИНК" см. стр. 56 NM