Перейти к содержанию
Сергей Ильин

Агенты DLP на EndPoint и их самозащита

Recommended Posts

Сергей Ильин

Многие производители средств защиты от утечек информации (DLP) предлагают решения для контроля за хранимой на рабочих станциях конфиденциальной информацией, мониторингов действий с этой информацией, оповещения о нарушениях, предотвращения неправомерного копирования, записи на внешние носители, пересылка и т.п.

Т.е. мы можем контролировать и присекать перемещения конфиденциальной информации внутри сети, не допускать ее копирование на внешние носители и мобильные устройства в том числе и по кускам. Более того, DLP-агент на рабочей станции, которой может быть и ноутбук блокирует утечку даже если компьютер покинет корпоративную сеть. Вроде бы все красиво выглядит, но меня смущает аспект защиты агента.

Что мешает инсайдеру с админскими провами просто прибить агента и спокойно слить всю инфу? Да может и админские права не нужны будут ...

Какой смысл в DLP на уровне EndPoint, если любой более менее продвинутый инсайдер сможет ее вырубить? Какие будут мнения у сообщества на этот счет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nones
Какой смысл в DLP на уровне EndPoint, если любой более менее продвинутый инсайдер сможет ее вырубить? Какие будут мнения у сообщества на этот счет?

А есть какие-нибудь подробности на каком уровне работают DLP агенты на EndPoint? Имхо .. не каждый даже продвинутый инсайдер сможет покопаться в драйверах и что-нибудь там корректно отключить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
iCent
Что мешает инсайдеру с админскими провами

Ну это уже другой вопрос. С таким же успехом можно спросить: а что мешает вендору\начальнику службы безопасности\администратору сети быть инсайдером. А у обычных юзеров не должно быть админских прав.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
BDV

ну как же. если DLP убить, то доступ к сети пропадает в грамотной DLP + доступ к локальным зашифрованным секретным данным. это все равно что к сетке подрубить компьютер левый без установленной DLP - она будет отторгнута всеми агентами в сети как чужая. по крайней мере в Verdasys так.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot
Какой смысл в DLP на уровне EndPoint, если любой более менее продвинутый инсайдер сможет ее вырубить

вопросом на вопрос - какой смысл в DLP на гейте, если любой _непродвинутый_ инсайдер может подключить мобилку и слить по GPRS/EDGE/3g все минуя гейт. Или воткнуть WiFi-dongle и перелить все point-to-point на свой iPhone/Laptop/Smartphone ;)

нет счастья в жизни ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Многие производители DLP решений изменили модели угроз и сейчас считают, что

продвинутый инсайдер
в неё не входит.

Но если рассмотреть DeviceLock, то инсайдер должен быть очень продвинутый и обладать хорошими полномочиями и знаниями для отключения агента.

В общем случае я встречал много решений с наличием контроля состояния удалённого агента и функцией обеспечения его живучести, наверное сейчас проблемы обеспечения живучести клиентского агента - нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Насколько я знаю, практически все решения DLP содержат определенный набор средств защиты, основные из них используются как раз на агентах для рабочих станциях: начиная с того, что агенты работают на уровне ядра операционной системы заканчивая тем, что используются определенные механизмы защиты от отключения, а также мониторинг с уведомлением Администратора о том что какие-то агенты пытаются выключить или уже выключили

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
ну как же. если DLP убить, то доступ к сети пропадает в грамотной DLP + доступ к локальным зашифрованным секретным данным. это все равно что к сетке подрубить компьютер левый без установленной DLP - она будет отторгнута всеми агентами в сети как чужая. по крайней мере в Verdasys так.

Это если компьютер в корпоративной сети находится и его можно контролировать политиками безопасности. Тут можно и права ограничить и много чего еще. Проблемы начинаются, когда ноутбут с конфиденциальной инфой покинул сеть. Вот тогда можно уйти в безконечные фантазии на тему "как убить/обойти агента и скопировать инфу".

вопросом на вопрос - какой смысл в DLP на гейте, если любой _непродвинутый_ инсайдер может подключить мобилку и слить по GPRS/EDGE/3g все минуя гейт. Или воткнуть WiFi-dongle и перелить все point-to-point на свой iPhone/Laptop/Smartphone wink.gif

Безусловно обойти гейт также просто, если не защищены рабочие станции. У меня вызывает сомнения эффективность защиты endpoint агентов на мобильных компьютерах, которые могут покидать корпоративную сеть. Эта фишка сейчас активно маркетирутся некоторыми вендорами.

Ну это уже другой вопрос. С таким же успехом можно спросить: а что мешает вендору\начальнику службы безопасности\администратору сети быть инсайдером. А у обычных юзеров не должно быть админских прав.

Не должно быть, но как правило именно у пользователей ноутбуков они и есть. Ведь ноуты как замена десктопу использует, как правило, руководство. На нем же они дома "работают", смотрят порнушку и т.п. :)

Спросите у broker'а, будут ли деректора мериться с урезанными правами на своих ноутах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot
У меня вызывает сомнения эффективность защиты endpoint агентов на мобильных компьютерах, которые могут покидать корпоративную сеть.

поэтому я и написал "нет счастья в жизни". это действительно так. в конце-концов лаптоп могут "потерять", если уж совсем важные данные и даже заявление из милиции принесут ("украли").

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
У меня вызывает сомнения эффективность защиты endpoint агентов на мобильных компьютерах, которые могут покидать корпоративную сеть.

Интересно, они офлайн или онлайн работают!? нужна ли агенту связь с центральным сервером.. ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot
нтересно, они офлайн или онлайн работают!? нужна ли агенту связь с центральным сервером

А кто "они"? Есть разные решения. Конечно, offline-режим должен поддерживаться так или иначе, иначе это не юзабельно для современных компаний, где сотрудники с лаптопами...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
Какой смысл в DLP на уровне EndPoint

а я вообще, в том что сейчас называеться DLP не вижу какого-нибудь смысла.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Интересно, они офлайн или онлайн работают!? нужна ли агенту связь с центральным сервером.. ?

Есть DLP решения, в которых часть на EndPoint работает не зависимо, находится ли юзер в сети или за ее пределами, а также не зависимо онлайн он или оффлайн. Кирилл может рассказать про Symantec DLP, как там это сделано, например.

При это самозащита агентов сделана может быть по-разному, но убить их не так просто, порой сложнее чем антивирусы :) Опять в качестве примера, общался с разработчиками Infowatch Device Monitor как раз после нашего теста самозащиты антивирусов, так там не так просто вынести его с машины. Понятно, что можно, но далеко не каждый даже продвинутый пользователь с правами админа сможет это сделать.

Ашот, я уверен тоже может проиллюстрировать, как защищен DeviceLock.

а я вообще, в том что сейчас называеться DLP не вижу какого-нибудь смысла.

Предлагаю создать тему, подискутируем ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
andrey golubev

смотрели защиту агентов для zLock, NetMonitor, DeviceLock и SecrecyKeeper примерно год назад

у первых двух защиты от админа не было вообще

у DeviceLock защита есть, но обходится, хотя не думаю, что средний админ справится

у SecrecyKeeper была на тот момент самая продвинутая, метод отключающий DeviceLock с ней не прошел

на какой-то выставке (примерно в октябре 2008) говорил с представителями Perimetrbx, по их словам уровень защиты как у DeviceLock, недостатки признали, но сказали, что эту угрозу актуальной не считают

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot
метод отключающий DeviceLock с ней не прошел

какой метод?

надо понимать, что если находится какая-то "дырка", то она затыкается производителем по мере возможности. мы например стараемся очень быстро на такое реагировать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Алeксaндр Кoвaлев

У нас в Zlock еще с 2006 года есть мониторинг, который позволяет оперативно оповещать администраторов об отключении/недоступности агентов. Также можно включить контроль целостности, тогда ОС не загрузится при отключении Zlock.

При этом всегда стоит учитывать, что кроме технической защиты агентов, обязательно должны быть предусмотрены административные рычаги. Мы всегда говорим об этом заказчикам. В противном случае это как знак "кирпич", при проезде под который сотрудники ГАИ будут уныло смотреть на нарушителя и сетовать, что у них в распоряжении только "маленький" знак, который не мешает проезду.

Андрей,

поддержу Ашота, хотелось бы услышать конкретные примеры, где самозащита у SecrecyKeeper была лучше, чем у других решений на рынке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Dmitrius
      Сервис подбора и сравнение кредитов Случается так, что деньги нужны срочно. Поэтому если у вас нет накоплений, рациональней всего обратиться за помощью на этот сайт, где собраны надежные, проверенные банки, которым точно можно доверять. Учреждения подготовили лучшие предложения, которые только возможны. На этом сайте есть возможность подобрать кредит, а также оформить займ либо взять деньги на приобретение автомобиля. И самое главное, что все это на наиболее выгодных для вас условиях. Автокредит Казахстан проценты - это шанс купить все, что нужно, не отказывая себе в покупке. Все банковские продукты различаются требованиями, условиями выдачи, а потому рекомендуется детально изучить условия договора и особенности выдачи денежных средств. Потребительский кредит оформить (рассчитать) в Алматы получится в данный момент. На этом сайте вы сможете не только подобрать подходящий вариант, но и сравнить имеющиеся. Затем следует определиться с тем, в какой банк обратиться за материальной поддержкой. Составить заявку на выдачу средств можно в режиме реального времени. Кредит наличными заявка онлайн выдается в течение часа наиболее комфортным для вас способом. На портале опубликован список всех доступных предложений, имеется необходимая информация о каждом банке и кредитах. Выберете самую низкую процентную ставку, а также сумму и сроки, на которые планируете занять сумму. Все максимально просто, быстро и понятно. Ипотека проценты Казахстан (ипотека Казахстан) - это отличная возможность решить свои жилищные проблемы. Важно помнить о том, что лишь надежные компании с огромным опытом готовы предложить приемлемые условия. Выберете подходящий для себя банковский продукт, чтобы поправить материальное положение.
    • Dmitrius
      Интернет магазин автозапчастей  Интернет-магазин «AUTOSHOP» реализует внушительный выбор деталей на автомобили - их можно подобрать не только по наименованию, но и артикулу и другим параметрам. Имеются разные запчасти на любые автомобили самых разных марок и моделей - вы сможете их найти в один клик. Запчасти находятся на складе - это дает возможность осуществить быструю транспортировку. Сотрудничество исключительно с надежными, проверенными поставщиками, которые работают на совесть и предлагают продукцию безупречного качества и с длительными эксплуатационными сроками. Автозапчасти интернет магазин для иномарок рекомендует ознакомиться с полным ассортиментом – он даст возможность подобрать вариант с учетом обозначенных требований. Перед тем, как осуществить приобретение, необходимо детально изучить технические аспекты, ведь именно они влияют на сроки эксплуатации и внешний вид авто. Но если вам требуется помощь специалиста, то вы всегда можете воспользоваться профессиональной консультацией. Автозапчасти для иномарок Курск вы обязательно подберете для любой машины, несмотря на год производства. Изучите справочник автотоваров, каталог, а также новости, представленные на данную тематику - информация поможет принять правильное решение. Сотрудники интернет-магазина быстро реагируют на появление новых деталей в европейских магазинах для того, чтобы в ближайшее время пополнить ими свой ассортимент. Это даст возможность быстро среагировать за изменяющуюся ситуацию. Каталог автозапчастей Курск содержит огромный перечень деталей. Они созданы в соответствии с самыми высокими стандартами, нормами, требованиями. Администрация проверяет запчасти на соответствие заданным характеристикам, поэтому в продажу попадает только та продукция, которая имеет сопроводительную документацию, сертификаты. На продукцию есть гарантии, подтверждающие безупречное качество, оригинальность.
    • JamesBisee
      Купить газовый котел с закрытой камерой сгорания в Москве
      https://www.fire-flower.ru/
      https://www.google.tg/url?q=https://fire-flower.ru
    • PR55.RP55
      По всей видимости uVS не всегда может получить доступ к: Hosts Нужно чтобы в Лог писалась информация: "Нет доступа  к Hosts " Вроде сейчас uVS  соответствующих записей не создаёт?
    • Dmitrius
      Канализация из септиков под ключ На предприятии каждый сможет заказать установку септиков, созданных из ЖБ конец - они не только практичны, но и отличаются безукоризненным качеством. Ищите где заказать монтаж септика астра - получите всю необходимую информацию на сайте. Важным моментом является то, что услуги оказываются на должном, профессиональном уровне. Это достигается за счет того, что в бригаде трудятся специалисты, которые знают все особенности своей работы. При этом стоимость работ остается на доступном уровне. Огромный стаж работы позволил приобрести большое количество клиентов – они советуют предприятие знакомым. Бетонные септики пользуются популярностью не только за счет своей небольшой стоимости, но и благодаря прочности, а также невосприимчивы к негативным условиях среды, они не нуждаются в сервисном обслуживании. И самое важное, что установка проводится на грунте любого типа. Такой вид септика считается самым быстрым способом организовать очистное сооружение на дачном участке. Сотрудники предприятия специально для вас подготовят предложение, произведут расчеты, грамотно расположат септик, а заодно и закупят все необходимые материалы по доступным ценам, выполнят доставку и монтажные работы. На все, включая материалы, предоставляются гарантии. Услуги оказываются не только по столице, но и области, на любом грунте: песке, глине и др. Монтаж септиков различной сложности, а также с подключением бани или дачи, переливом, любых соединений. Есть возможность вызвать целую бригаду специалистов на малый участок либо дачу, на которой вы проживаете время от времени или постоянно. Монтажные работы в ограниченные сроки. Во время монтажных работ учитывается то, сколько человек проживает в доме, особенности – о них поведает консультант. Теперь и вы сможете заказать высококлассные работы.
×