А агент точно скрытый? Все о «невидимом» контроле с DLP и его пределах

10.03.2021

Вернуться к списку статей

Рассказывает Алексей Парфентьев, руководитель отдела аналитики "СёрчИнформ".

DLP не зря функционируют в скрытом режиме: с одной стороны, это не мешает работе добропорядочных сотрудников, с другой – помогает ловить инсайдеров врасплох «на горячем». В большинстве решений агент скрыт по умолчанию, его невозможно или очень сложно обнаружить и тем более отключить. Но ИБ-специалисты – профессиональные параноики и предпочитают перестраховаться.

Недавно один из них обратился к нам с запросом: можно поставить на агент еще и пароль – для надежности? Скажу честно: вопрос меня удивил. Так что в ответ родился этот пост – о том, что обеспечивает «невидимость» агента DLP и почему допзащита с паролем избыточна и даже вредна.

Что за агент?

Агентом DLP называется часть программы, которая устанавливается на ПК сотрудников – «конечные точки», и собирает оттуда трафик – информацию об активности, запущенных программах, подключаемых устройствах, открытых сайтах и отправленных сообщениях. Словом, перехват. Затем он передает собранные данные на сервер DLP, где трафик парсится и анализируется, чтобы выявить нарушения безопасности.

Агенты могут выполнять анализ и самостоятельно. Именно в конечных точках реализуются самые быстрые блокировки опасных действий пользователей – например, пересылки конфиденциальных документов, или шифрование файлов, скопированных на флешку.

Чтобы работе агента ничего не мешало, вендоры DLP максимально их маскируют. С ним «дружат» системное и другое защитное ПО (например, добавляют в исключения антивируса, чтобы софт не считал инцидентом пересылку данных от агента на внешний сервер DLP). Дополнительно скрывают от пользователя, чтобы не скомпрометировать контроль – иначе нарушители начнут искать способы обойти защиту.

Как это работает?

Расскажу на нашем примере. КИБ по умолчанию работает в режиме полной невидимости. Сотрудник не может не то что отключить, но даже обнаружить агент DLP на своем ПК – даже если это локальный или доменный администратор.  Агент не отображается в списке запущенных служб, процессов, его не видно в реестре и файловой системе. Маскировка работает в том числе в «Безопасном режиме» загрузки ОС.

Дополнительная мера безопасности – трафик агента к серверу DLP зашифрован и передается через один из стандартных портов по протоколу HTTP(s). То есть на сетевом уровне выглядит как обычный браузерный веб-трафик.

Даже при худшем сценарии, если агент «раскрыт», пользователи не смогут удалить его или как-то помешать его работе. «Антивандальная» стойкость достигается за счет следующей логики:

  1. Постоянный локальный контроль состояния всех компонент агента;
  2. Постоянный сетевой контроль состояния всех компонент агента сервером;
  3. Если по результатам первого или второго вида мониторинга обнаруживается сбой – агент не отвечает, то включается следующий алгоритм:
  • принудительный перезапуск проблемного компонента, если не помогло, то:
    • принудительный перезапуск агента целиком (всех его компонент), если не помогло, то:
      • принудительная переустановка агента сервером.

Таким образом, даже если пользователь каким-то образом повредит, удалит или отключит агент на ПК – агент просто переустановится с сервера и запустится со всеми предыдущими политиками ИБ.

Это «большой брат»?

С этим разобрались: если пользователь попал «на радар» службы ИБ, самостоятельно он оттуда не исчезнет. Но это не значит, что контроль будет тотальным.

Во-первых, мы рекомендуем заказчикам: рассказывайте сотрудникам о контроле и объясняйте, что он не переходит их личные границы. И подписывайте с ними информированное согласие – для соблюдения закона и собственного спокойствия.

Во-вторых, даже при строгом контроле есть специальные «этичные» опции, обеспечивающие невмешательство в частную жизнь сотрудников. Вот только некоторые из них:

  • Автоматическое отключение аудиозаписи с микрофона, если ПК не в офисе.
  • Запрет на сохранение паролей, введенных пользователем, в модуле Keylogger.
  • Отключение вычитки истории переписки в мессенджерах.

Наконец, служба ИБ может принять решение исключить из контроля пользователя по тем или иным причинам. И тогда сама удалит агент с ПК – через головной «центр управления» DLP-системой.

А при чем тут пароли?

Помните ситуацию: хотите удалить программку, а ПК запрашивает права администратора и просит ввести ключ? Это простой и хороший способ, если вы хотите уберечь корпоративный мессенджер или клиент электронной почты от особо инициативных сотрудников. Некоторые наши заказчики хотели бы видеть схожий механизм для защиты агента DLP – чтобы даже у продвинутых, привилегированных пользователей, которые каким-то невероятным образом добрались до места его хранения на ПК, система запросила ключ для удаления или остановки.

Надеюсь, уже понятно: папки с ярлыком «всевидящее око», который можно было бы отключить или удалить, на компьютерах сотрудников нет. Представить предлагаемые обстоятельства на практике невозможно. Но даже существуй такая вероятность, пароли бы не помогли.

Даже у самого сложного постоянного пароля есть слабая сторона: он где-то хранится. А значит, теоретически может попасть не в те руки. Тогда вместо защиты получается уязвимость, которой могут воспользоваться потенциальные нарушители.

По-моему, режим работы любых защитных средств, когда пользователь сам принимает решение об их отключении/удалении – бесполезная и даже вредная штука. В чем смысл антивируса, который юзер отключает, если тот не дает открыть зараженное вложение? Аналогично для DLP-системы – как должна работать защита от инсайдеров, которую сам же инсайдер может по желанию отключить? Более того, если нарушитель вплоть до тонкостей знает особенности работы защитных систем, толку от них не будет – ведь поведение злоумышленника изменится, он найдет способы обойти контроль.

Поэтому алгоритм, где пользователь видит агент DLP в трее или установленных программах и может его оттуда удалить, просто введя пароль, мы считаем нецелесообразным и даже вредным с точки зрения ИБ.

 

Попробовать бесплатно продукты «СёрчИнформ»

 


ИБ-практика СёрчИнформ КИБ Алексей Парфентьев


ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними