Использование DeviceLock DLP: опыт интегратора

Использование DeviceLock DLP: опыт интегратора

Использование DeviceLock DLP: опыт интегратора

DeviceLock DLP — это классическая DLP-система с явным акцентом на предотвращение утечек данных. Часто можно услышать, что это инструмент для блокировки и ничего более. Однако с этой системой не все так однозначно. Эксперты компании «Инфосекьюрити» протестировали DeviceLock DLP самостоятельно и поделились своим опытом, который позволит по-новому взглянуть на одного из пионеров российского рынка DLP.

 

 

 

 

  1. Введение
  2. Предыстория создания и развитие DeviceLock
  3. Архитектура и основные возможности DeviceLock DLP
  4. Возможности блокировки
  5. Возможности мониторинга
  6. Возможности контроля хранимых файлов
  7. Выводы

 

Введение

Так получилось, что у нас (у компании «Инфосекьюрити») любовь к DLP начиналась именно с расследования разных инцидентов с утечками. По сути, 99% рабочего процесса были построены вокруг расследований, обработки запросов от заказчика и тому подобного, что наложило определенный отпечаток на методику подхода к практическому использованию DLP-технологий и специфику восприятия других решений.

И вот осенью 2018, имея за плечами немалый опыт работы с системой, представляющей собой гибрид Post-DLP и зачатков UBA, мы пришли к выводу, что класть все яйца в одну корзину неэффективно (и непроизводительно!), и, руководствуясь такой логикой, решили обратить свое внимание на одного из пионеров российского рынка DLP — DeviceLock. Коллективно прошли полноценный трехдневный тренинг по DeviceLock DLP, с экзаменом и сертификацией по итогу. Теперь, нарастив свою инженерную мощь и технические компетенции, можем поделиться и своим мнением об этом продукте, стоящем особняком от других «новых российских разработок», со своей собственной парадигмой развития.

Логично, что продукт класса Data Leakage Prevention по определению в первую очередь должен эффективно предотвращать утечку, а не предлагать гиперактивность с просмотром рабочего стола сотрудника ради поиска виновных. Хорошо это или плохо, но специфика российской ИБ в том, что в нашей стране блокировка традиционно пользуется низкой популярностью — либо вследствие боязни войти в конфликт с бизнес-подразделениями, которым «эта ИБ» совершенно не интересна и только мешает, либо в силу отсутствия инструментов, или по совсем другим нетехническим причинам. Мы положительно относимся к инструментам, предназначенным для мониторинга и проведения расследований с перелопачиванием архивов со скриншотами и видеозаписями — как минимум по той же вышеупомянутой исторической причине, но также понимаем, что для каждой задачи нужен свой инструмент. И кто знает, насколько богаче были бы наши опыт и кругозор сейчас, если бы в самом начале нашей деятельности в нашем арсенале был DeviceLock?..

 

Предыстория создания и развитие DeviceLock

На российском рынке продукт с давних времен плотно занимает нишу решений для контроля периферии и съемных устройств — флешек, принтеров и прочего, но не всем известен как решение класса DLP.

Парадигма развития DeviceLock заключается в том, что разработчики изначально ориентировались на западный рынок и избрали соответствующий подход — если есть канал утечки, то его надо суметь надежно перекрыть. Так было изначально для устройств, так стало и при переходе DeviceLock в категорию DLP несколько лет назад. Получился продукт из категории «за что заплатил, то и получил» — написано тебе DLP, вот и получил DLP. Пожалуй, это единственный отечественный вендор, который не забыл значение этой аббревиатуры из трех букв.

Соответственно, целевая аудитория DeviceLock — это не «любители подглядывать», а те безопасники, которым нужно предотвратить утечку информации.

Ниже попробуем описать, что же нам может предложить рассматриваемый программный комплекс. В первую очередь, традиционно рассмотрим «классический» набор возможностей таких систем — предотвращение утечек, или попросту блокировка передачи данных.

 

Архитектура и основные возможности DeviceLock DLP

Программный комплекс DeviceLock DLP состоит из следующих компонентов:

Агент DeviceLock — основной компонент, отвечающий за перехват обращений к устройствам и сетевым протоколам и сервисам. Именно он выполняет блокировки или разрешает доступ к контролируемым каналам утечки, он же ведет все журналирование, создает теневые копии и отправляет от себя сигналы тревоги (письмом по SMTP или на SNMP). Умеет писать события в SYSLOG, что дает перспективную возможность «сращивания» DLP с SIEM.

Агент несет «на борту» также возможность контентного анализа — работающего как в режиме фильтра с блокировками по содержимому, так и для пассивного разбора содержимого (чтобы создавать, например, теневые копии не всех файлов и данных подряд, а только при срабатывании контентного правила, или отправить сигнал тревоги без блокировки — а это может очень сильно повысить оперативность мониторинга и эффективность при расследовании инцидентов).

Консоли управления — небольшой набор в целом однотипных консолей, базирующихся на MMC. Основная MMC-консоль (DeviceLock Management Console) умеет подключаться для управления отдельно взятым агентом или серверными компонентами комплекса. Для управления агентами через групповые политики домена Active Directory — другая MMC-оснастка, встраиваемая прямо в редактор групповых политик. Если нет возможности использовать групповые политики, можно управлять агентами и политиками через собственный сервер управления DeviceLock Enterprise Server. Также присутствует веб-консоль, но ее развитие у вендора пока приостановлено. Принципы конфигурирования политик и настроек во всех консолях одинаковы, различаются только конечные точки приложения усилий. В целом интерфейс системы достаточно сложный, местами запутанный, «так сложилось исторически», но гибкий функционально и построенный на классической «админской» концепции управления в Windows: «пользователь — контролируемый канал — права и параметры».

DeviceLock Discovery — обособленный в плане лицензирования модуль с развитыми функциями сканирования рабочих станций и сетевых директорий. Управляется из консоли DeviceLock Management Console. При сканировании Discovery использует все те же возможности контентного анализа, что заложены в «общем» агенте DeviceLock.

DeviceLock Search Server — опциональный серверный компонент, предназначенный для работы с архивом. Работает на Windows Server и базируется на технологиях известного движка dtSearch. На данный момент представляет собой классический поисковик с полнотекстовым поиском — ищет то, что совпадает с заданной поисковой строкой, по всему архиву — среди событий и внутри теневых копий, попавших в архив. Результат поиска выдается в консоли или, что особо интересно, отправляется почтой на указанный адрес. Если такой запрос поставить в расписание, можно получать на почту только те результаты поиска, которые не попадали в ранее выполненный поисковый запрос. Умеет индексировать архивы с нескольких серверов хранения и выдавать результаты поиска сразу по всем индексированным архивам — это сделано, например, для варианта с распределенной инфраструктурой, когда у каждого филиала есть собственный архив, а работу с архивом и расследование инцидентов выполняют безопасники в головном подразделении.

DeviceLock EtherSensor — сетевой DLP-сервер для мониторинга сетевого трафика. Включен в DeviceLock как OEM-решение, интегрирован на уровне архива — сервер перехватывает сетевые события и закидывает в архив DeviceLock, при этом работа с событиями в архиве идет точно та же, что и с событиями от агентов.

DeviceLock Enterprise Server — ключевой серверный компонент, предназначенный для управления архивом и системой в целом. Работает на Windows Server. Умеет собирать с агентов события и теневые копии, складывая их в централизованный архив (он, в свою очередь, живет в MS SQL). Умеет раскидывать на агенты заданные политики, проверять по расписанию состояние агентов и накатывать на проверяемые компьютеры и агенты, и политики — если вдруг они «не те», что в шаблоне. Более того, продукт не стоит на месте, и за то время, что прошло с нашего тренинга, этот сервер научился также исполнять консолидацию архивов — получил ролевую модель master-slave и возможность сливать данные из архивов в филиалах в «главный» архив организации. Учитывая, что платить за сервер не надо — возможности создания децентрализованного архива с регулярной консолидацией становятся весьма разнообразными. Этот же сервер ведет базу данных цифровых отпечатков и анализирует хеши, присланные агентами на проверку.

 

Возможности блокировки

Именно в блокировке кроется та самая мощь DeviceLock, делающая эту систему DLP. Это безусловно самая сильная, самая функционально насыщенная часть DeviceLock, и рассказывать тут можно довольно много.

Во-первых, в DeviceLock нет, пожалуй, ни одного сетевого канала, который эта система не смогла бы заблокировать. Белые списки для устройств и для сетевого трафика, блокировка всех видов почты, отдельно выделены мессенджеры (включая Viber и WhatsApp), веб-почта и социальные сети, сетевые «шары» по SMB. Строго говоря, в DeviceLock есть все, чтобы перекрыть сотрудникам то, с чем им не положено иметь дело по работе. Реализовано это «все» не просто гибко (по пользователям), а очень гибко. Например, нет нужды просто «закрывать скайп» — можно заблокировать отдельным сотрудникам возможность слать через Skype файлы, оставив в покое чат и звонки. Такая гибкость в блокировках предусмотрена везде, где она в принципе возможна исходя из особенностей контролируемого канала.

И это не все. Агентом можно не просто заблокировать передачу данных на устройство или по сети, но и при помощи контентных фильтров проверить, что именно пытался «слить» пользователь. Это могут быть отдельные слова или подборка из готовых (или самодельных) словарей, совпадения с шаблонами всяческих регулярных выражений. В арсенале контентной фильтрации есть еще анализ свойств документов и файлов (проверка по автору, размеру, дате создания, типу файла), поддержка морфологиии, транслита, готовые словари и шаблоны regexp в больших количествах. Не забыт и OCR — он сразу встроен в агент и вполне пригоден для разбора распечатанных документов. В паре с сервером DeviceLock Enterprise Server агент DeviceLock умеет анализировать файлы по технологии цифровых отпечатков: агент снимает хеш перехваченного файла, «отдает» его серверу, тот проводит анализ и выявляет соответствие с отпечатками, хранимыми в базе на сервере, после чего возвращает агенту результат анализа.

Работают контентные фильтры на лету, позволяя заблокировать передачу данных по разрешенному каналу — таким образом нет нужды блокировать тот же Skype, можно блокировать конкретные файлы и документы — или сам чат, если хочется достичь наиболее жесткой модели защиты и контролировать переписку по заданным словам.

У каждой медали, как обычно, две стороны. Положительная понятна — это безопасность, предотвращение утечек, это отличное решение проблем с ФЗ-152 и GDPR. Отрицательная заключается в том, что за защиту от утечек платит пользователь — вычислительным ресурсом своего компьютера. Неизбежны и нагрузка на машину, и некоторая (порой немалая) пауза при проверке контента. Бизнесу это, увы, не всегда нравится.

Иногда бывает, что коллеги, не до конца разобравшись, ругают DeviceLock, говоря, что какой-то привычной им функциональности нет. Это не всегда так. Например, мы были уверены, что DeviceLock может, к примеру, заблокировать передаваемые через мессенджер файлы и текст по контентному поиску (то есть достаточно тонко), но потом посмотреть перехватываемые сообщения — нельзя. Такая логика в нашем понимании сильно усложняет выявление ложных срабатываний. Эти опасения и описанный ниже сценарий мы выдали вендору на тренинге.

Условный кейс: представим, что DeviceLock настроен очень давно, а тот, кто его настраивал — на данный момент уволился. Нынешнему безопаснику требуется актуализировать настройки системы, учитывая, что определенный сотрудник, которому можно (и нужно) писать «наружу» (например, сейл) жалуется на частые блокировки исходящих сообщений из-за ложных срабатываний.
Ситуация осложняется большими объемами отправляемого текста: и каждое написанное слово не вспомнишь, и поисковый сервер не помощник, и вообще — как решать проблему, непонятно.

Оказалось, что это совсем не проблема — наш безопасник открывает консоль с журналом теневых копий, фильтрует журнал теневых копий по этому сейлу, и смотрит в указанном диапазоне времени, что именно заблокировалось и по какому именно правилу (в журнале вместе с записью о событии выводятся и имена сработавших правил, и конкретные слова или выражения, на которые сработало правило). И весь текст как на ладони, что сейл отправлял — как теневая копия чата и отправленных файлов. Затем безопасник идет в это правило и определяет, что же там вызывает срабатывание, которое теперь должно считаться как false positive. Корректирует правило — и вуаля, проблема закрыта, ничто не препятствует общению с клиентом.

Еще один отрицательный момент — нет карантина. Блокировать — значит блокировать! Пользователь не может, как в других известных DLP, обойти фильтр, заявив свое «осознаю риск и хочу нарушить правило». Безопасник не может проверить почту в карантине, убрать заблокированные по ошибке и направить письма дальше. Впрочем, вендор об этом недостатке знает и обещает в ближайших версиях дополнить функциональность DeviceLock карантином и возможностью обхода фильтра пользователем.

 

Возможности мониторинга

Мониторинг всего, что передается по каналам утечки — вторая мощная сторона DeviceLock DLP. Блокировать не надо? Нет проблем, те же самые каналы утечки данных можно поставить только под мониторинг. С теми же гибкостью и детализацией уровней контроля. Или одни под блокировки, а другие под мониторинг. Или для одних сотрудников блокировать, а другим — только мониторинг. И так далее.

Можно и контентные фильтры, что идут под знаменем предотвращения утечки, использовать только в целях мониторинга — складывая в архив не все теневые копии подряд, а только те, на которые еще на агенте сработали правила поиска по контенту. На тренинге нам рассказывали, какие проблемы у западноевропейских клиентов вызывает теневое копирование сплошным потоком, тогда как автоматизированный отбор теневых копий в архив на базе анализа контента без участия безопасников решает эту проблему.

События и теневые копии файлов, данных, чатов и т. д. и т. п. (в том числе из мессенджеров) сначала хранятся агентом на локальном компьютере, затем по возможности перебрасываются на сервер в архив. Агент может «дружить» не с одним сервером, а с несколькими, сбрасывая теневые копии и события на тот, что в данный момент времени ответил быстрее.

Однако здесь опять же две стороны медали — мало иметь мегатонны событий и теневых копий в архиве, надо иметь возможность эффективно с ним работать. Для этого предусмотрен поисковый сервер DeviceLock Search Server и различные отчеты, плюс интерактивный граф связей. Не хватает пока что (пока — потому что, опять же, вендор обещает вскорости эту функциональность нарастить) специфических отчетов именно для расследования и оформления инцидентов (досье) и поиска по контенту в архиве — не просто по строке поиска, как это сделано сейчас, а по тем же критериям, что реализованы на агенте в контентных фильтрах, но отсутствуют среди возможностей серверного поиска. Вендор заверяет, что эту проблему он понимает и уже ею занимается.

 

Возможности контроля хранимых файлов

Реализовано в модуле DeviceLock Discovery. Сделано на тех же механизмах, что используют агенты для поиска контента — то есть словари, regexp, свойства файлов и цифровые отпечатки.

Модуль DeviceLock Discovery хоть и серверный, но сканирование рабочих станций умеет делать не только с «базы», то есть сервера, но и через установку и удаление после сканирования собственных агентов. Если же на рабочих станциях уже стоит агент DeviceLock, сканирование можно поручить ему. Умеет сканировать собственно рабочие станции — целиком или отдельные каталоги, любые SMB-шары, что доступны с рабочих станций или с сервера, подключенные флешки и т. д

Сканирование для контроля хранимых на рабочих компьютерах можно запускать по расписанию или вручную, а по его результатам система строит довольно подробный отчет с элементами интерактива. Что важно, на создании отчета история не заканчивается: в случае обнаружения некоего файла по заданным условиям система может сразу же выполнить с ним указанные действия. Простейшее — выдать сообщение юзеру через трей или отправить письмо на указанный адрес. Дальше — больше: можно принудительно изменить права доступа или зашифровать файл стандартными виндовыми средствами, чтобы пользователь оказался в ситуации «видит око, да зуб неймет», удалить сам файл или архив, в котором он нашелся.

На оборотной стороне медали — не хватает функции сканирования баз данных и порталов SharePoint.

 

Выводы

Бытует мнение, что для задач мониторинга DeviceLock непригоден, что это инструмент для блокировки и ничего более. Строго говоря, следить за сотрудником инструментом, заточенным на борьбу с утечками «на корню» — по меньшей мере глупо. Однако рыночные тренды игнорировать не стоит. Даже западный рынок видит в слиянии DLP и UBA будущее, так что и таким мастодонтам, как DeviceLock, придется добавлять новые фишки (кейлогер, просмотр экрана рабочего стола пользователя и т. д.).

В ходе того самого тренинга, о котором было упомянуто в начале статьи и неоднократно после него, мы обсуждали с вендором те недостатки, которые увидели в DeviceLock. Это прежде всего отсутствие функциональности UBA и недостаточные возможности в расследовании инцидентов.

Вместо того чтобы воевать с ветряными мельницами и доказывать, что никакими скриншотами и отчетами утечку не предотвратить, DeviceLock принимает разумное решение и готовится наращивать дополнительную функциональность — по сути, выходить за рамки традиционного понятия DLP. Парадигма развития DeviceLock не изменилась — разработчики смотрят прежде всего на поиск решения задачи «перекрыть канал утечки» и лишь затем на прочие функции. Но уже в очередной версии, которая вот-вот появится на рынке (по инсайдерской информации, Бета будет опубликована через пару месяцев), будут и снимки экранов, и кейлогер, и новые виды отчетов, расширение возможностей поискового сервера для расследования инцидентов, и про расширение функций блокировки тоже не забыто.

В сухом остатке: имеем классическую DLP-систему с явным акцентом на предотвращение утечек данных и богатыми возможностями для решения вышеозначенной задачи, с последовательным развитием дополнительных функций в заданной парадигме.

Рассматриваемая система, как и любая другая, имеет и достоинства, и недостатки. Мощные возможности блокировки поставлены в основу и возможностей, и логики продвижения системы. Если вам необходим упор на функциональность расследования инцидентов, а не защита от утечек, стоит посмотреть на другие продукты на рынке DLP. Если важно обеспечить защиту от утечек, на сегодня DeviceLock — самый мощный и гибко настраиваемый в части разных блокировок DLP-продукт.

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru