Рассказывает Алексей Парфентьев, руководитель отдела аналитики "СёрчИнформ".
DLP не зря функционируют в скрытом режиме: с одной стороны, это не мешает работе добропорядочных сотрудников, с другой – помогает ловить инсайдеров врасплох «на горячем». В большинстве решений агент скрыт по умолчанию, его невозможно или очень сложно обнаружить и тем более отключить. Но ИБ-специалисты – профессиональные параноики и предпочитают перестраховаться.
Недавно один из них обратился к нам с запросом: можно поставить на агент еще и пароль – для надежности? Скажу честно: вопрос меня удивил. Так что в ответ родился этот пост – о том, что обеспечивает «невидимость» агента DLP и почему допзащита с паролем избыточна и даже вредна.
Агентом DLP называется часть программы, которая устанавливается на ПК сотрудников – «конечные точки», и собирает оттуда трафик – информацию об активности, запущенных программах, подключаемых устройствах, открытых сайтах и отправленных сообщениях. Словом, перехват. Затем он передает собранные данные на сервер DLP, где трафик парсится и анализируется, чтобы выявить нарушения безопасности.
Агенты могут выполнять анализ и самостоятельно. Именно в конечных точках реализуются самые быстрые блокировки опасных действий пользователей – например, пересылки конфиденциальных документов, или шифрование файлов, скопированных на флешку.
Чтобы работе агента ничего не мешало, вендоры DLP максимально их маскируют. С ним «дружат» системное и другое защитное ПО (например, добавляют в исключения антивируса, чтобы софт не считал инцидентом пересылку данных от агента на внешний сервер DLP). Дополнительно скрывают от пользователя, чтобы не скомпрометировать контроль – иначе нарушители начнут искать способы обойти защиту.
Расскажу на нашем примере. КИБ по умолчанию работает в режиме полной невидимости. Сотрудник не может не то что отключить, но даже обнаружить агент DLP на своем ПК – даже если это локальный или доменный администратор. Агент не отображается в списке запущенных служб, процессов, его не видно в реестре и файловой системе. Маскировка работает в том числе в «Безопасном режиме» загрузки ОС.
Дополнительная мера безопасности – трафик агента к серверу DLP зашифрован и передается через один из стандартных портов по протоколу HTTP(s). То есть на сетевом уровне выглядит как обычный браузерный веб-трафик.
Даже при худшем сценарии, если агент «раскрыт», пользователи не смогут удалить его или как-то помешать его работе. «Антивандальная» стойкость достигается за счет следующей логики:
Таким образом, даже если пользователь каким-то образом повредит, удалит или отключит агент на ПК – агент просто переустановится с сервера и запустится со всеми предыдущими политиками ИБ.
С этим разобрались: если пользователь попал «на радар» службы ИБ, самостоятельно он оттуда не исчезнет. Но это не значит, что контроль будет тотальным.
Во-первых, мы рекомендуем заказчикам: рассказывайте сотрудникам о контроле и объясняйте, что он не переходит их личные границы. И подписывайте с ними информированное согласие – для соблюдения закона и собственного спокойствия.
Во-вторых, даже при строгом контроле есть специальные «этичные» опции, обеспечивающие невмешательство в частную жизнь сотрудников. Вот только некоторые из них:
Наконец, служба ИБ может принять решение исключить из контроля пользователя по тем или иным причинам. И тогда сама удалит агент с ПК – через головной «центр управления» DLP-системой.
Помните ситуацию: хотите удалить программку, а ПК запрашивает права администратора и просит ввести ключ? Это простой и хороший способ, если вы хотите уберечь корпоративный мессенджер или клиент электронной почты от особо инициативных сотрудников. Некоторые наши заказчики хотели бы видеть схожий механизм для защиты агента DLP – чтобы даже у продвинутых, привилегированных пользователей, которые каким-то невероятным образом добрались до места его хранения на ПК, система запросила ключ для удаления или остановки.
Надеюсь, уже понятно: папки с ярлыком «всевидящее око», который можно было бы отключить или удалить, на компьютерах сотрудников нет. Представить предлагаемые обстоятельства на практике невозможно. Но даже существуй такая вероятность, пароли бы не помогли.
Даже у самого сложного постоянного пароля есть слабая сторона: он где-то хранится. А значит, теоретически может попасть не в те руки. Тогда вместо защиты получается уязвимость, которой могут воспользоваться потенциальные нарушители.
По-моему, режим работы любых защитных средств, когда пользователь сам принимает решение об их отключении/удалении – бесполезная и даже вредная штука. В чем смысл антивируса, который юзер отключает, если тот не дает открыть зараженное вложение? Аналогично для DLP-системы – как должна работать защита от инсайдеров, которую сам же инсайдер может по желанию отключить? Более того, если нарушитель вплоть до тонкостей знает особенности работы защитных систем, толку от них не будет – ведь поведение злоумышленника изменится, он найдет способы обойти контроль.
Поэтому алгоритм, где пользователь видит агент DLP в трее или установленных программах и может его оттуда удалить, просто введя пароль, мы считаем нецелесообразным и даже вредным с точки зрения ИБ.
[insert name="insert-try"]
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных