Сергей Ильин

Агенты DLP на EndPoint и их самозащита

В этой теме 16 сообщений

Многие производители средств защиты от утечек информации (DLP) предлагают решения для контроля за хранимой на рабочих станциях конфиденциальной информацией, мониторингов действий с этой информацией, оповещения о нарушениях, предотвращения неправомерного копирования, записи на внешние носители, пересылка и т.п.

Т.е. мы можем контролировать и присекать перемещения конфиденциальной информации внутри сети, не допускать ее копирование на внешние носители и мобильные устройства в том числе и по кускам. Более того, DLP-агент на рабочей станции, которой может быть и ноутбук блокирует утечку даже если компьютер покинет корпоративную сеть. Вроде бы все красиво выглядит, но меня смущает аспект защиты агента.

Что мешает инсайдеру с админскими провами просто прибить агента и спокойно слить всю инфу? Да может и админские права не нужны будут ...

Какой смысл в DLP на уровне EndPoint, если любой более менее продвинутый инсайдер сможет ее вырубить? Какие будут мнения у сообщества на этот счет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Какой смысл в DLP на уровне EndPoint, если любой более менее продвинутый инсайдер сможет ее вырубить? Какие будут мнения у сообщества на этот счет?

А есть какие-нибудь подробности на каком уровне работают DLP агенты на EndPoint? Имхо .. не каждый даже продвинутый инсайдер сможет покопаться в драйверах и что-нибудь там корректно отключить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Что мешает инсайдеру с админскими провами

Ну это уже другой вопрос. С таким же успехом можно спросить: а что мешает вендору\начальнику службы безопасности\администратору сети быть инсайдером. А у обычных юзеров не должно быть админских прав.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ну как же. если DLP убить, то доступ к сети пропадает в грамотной DLP + доступ к локальным зашифрованным секретным данным. это все равно что к сетке подрубить компьютер левый без установленной DLP - она будет отторгнута всеми агентами в сети как чужая. по крайней мере в Verdasys так.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Какой смысл в DLP на уровне EndPoint, если любой более менее продвинутый инсайдер сможет ее вырубить

вопросом на вопрос - какой смысл в DLP на гейте, если любой _непродвинутый_ инсайдер может подключить мобилку и слить по GPRS/EDGE/3g все минуя гейт. Или воткнуть WiFi-dongle и перелить все point-to-point на свой iPhone/Laptop/Smartphone ;)

нет счастья в жизни ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Многие производители DLP решений изменили модели угроз и сейчас считают, что

продвинутый инсайдер
в неё не входит.

Но если рассмотреть DeviceLock, то инсайдер должен быть очень продвинутый и обладать хорошими полномочиями и знаниями для отключения агента.

В общем случае я встречал много решений с наличием контроля состояния удалённого агента и функцией обеспечения его живучести, наверное сейчас проблемы обеспечения живучести клиентского агента - нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Насколько я знаю, практически все решения DLP содержат определенный набор средств защиты, основные из них используются как раз на агентах для рабочих станциях: начиная с того, что агенты работают на уровне ядра операционной системы заканчивая тем, что используются определенные механизмы защиты от отключения, а также мониторинг с уведомлением Администратора о том что какие-то агенты пытаются выключить или уже выключили

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ну как же. если DLP убить, то доступ к сети пропадает в грамотной DLP + доступ к локальным зашифрованным секретным данным. это все равно что к сетке подрубить компьютер левый без установленной DLP - она будет отторгнута всеми агентами в сети как чужая. по крайней мере в Verdasys так.

Это если компьютер в корпоративной сети находится и его можно контролировать политиками безопасности. Тут можно и права ограничить и много чего еще. Проблемы начинаются, когда ноутбут с конфиденциальной инфой покинул сеть. Вот тогда можно уйти в безконечные фантазии на тему "как убить/обойти агента и скопировать инфу".

вопросом на вопрос - какой смысл в DLP на гейте, если любой _непродвинутый_ инсайдер может подключить мобилку и слить по GPRS/EDGE/3g все минуя гейт. Или воткнуть WiFi-dongle и перелить все point-to-point на свой iPhone/Laptop/Smartphone wink.gif

Безусловно обойти гейт также просто, если не защищены рабочие станции. У меня вызывает сомнения эффективность защиты endpoint агентов на мобильных компьютерах, которые могут покидать корпоративную сеть. Эта фишка сейчас активно маркетирутся некоторыми вендорами.

Ну это уже другой вопрос. С таким же успехом можно спросить: а что мешает вендору\начальнику службы безопасности\администратору сети быть инсайдером. А у обычных юзеров не должно быть админских прав.

Не должно быть, но как правило именно у пользователей ноутбуков они и есть. Ведь ноуты как замена десктопу использует, как правило, руководство. На нем же они дома "работают", смотрят порнушку и т.п. :)

Спросите у broker'а, будут ли деректора мериться с урезанными правами на своих ноутах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
У меня вызывает сомнения эффективность защиты endpoint агентов на мобильных компьютерах, которые могут покидать корпоративную сеть.

поэтому я и написал "нет счастья в жизни". это действительно так. в конце-концов лаптоп могут "потерять", если уж совсем важные данные и даже заявление из милиции принесут ("украли").

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
У меня вызывает сомнения эффективность защиты endpoint агентов на мобильных компьютерах, которые могут покидать корпоративную сеть.

Интересно, они офлайн или онлайн работают!? нужна ли агенту связь с центральным сервером.. ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
нтересно, они офлайн или онлайн работают!? нужна ли агенту связь с центральным сервером

А кто "они"? Есть разные решения. Конечно, offline-режим должен поддерживаться так или иначе, иначе это не юзабельно для современных компаний, где сотрудники с лаптопами...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Какой смысл в DLP на уровне EndPoint

а я вообще, в том что сейчас называеться DLP не вижу какого-нибудь смысла.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Интересно, они офлайн или онлайн работают!? нужна ли агенту связь с центральным сервером.. ?

Есть DLP решения, в которых часть на EndPoint работает не зависимо, находится ли юзер в сети или за ее пределами, а также не зависимо онлайн он или оффлайн. Кирилл может рассказать про Symantec DLP, как там это сделано, например.

При это самозащита агентов сделана может быть по-разному, но убить их не так просто, порой сложнее чем антивирусы :) Опять в качестве примера, общался с разработчиками Infowatch Device Monitor как раз после нашего теста самозащиты антивирусов, так там не так просто вынести его с машины. Понятно, что можно, но далеко не каждый даже продвинутый пользователь с правами админа сможет это сделать.

Ашот, я уверен тоже может проиллюстрировать, как защищен DeviceLock.

а я вообще, в том что сейчас называеться DLP не вижу какого-нибудь смысла.

Предлагаю создать тему, подискутируем ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

смотрели защиту агентов для zLock, NetMonitor, DeviceLock и SecrecyKeeper примерно год назад

у первых двух защиты от админа не было вообще

у DeviceLock защита есть, но обходится, хотя не думаю, что средний админ справится

у SecrecyKeeper была на тот момент самая продвинутая, метод отключающий DeviceLock с ней не прошел

на какой-то выставке (примерно в октябре 2008) говорил с представителями Perimetrbx, по их словам уровень защиты как у DeviceLock, недостатки признали, но сказали, что эту угрозу актуальной не считают

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
метод отключающий DeviceLock с ней не прошел

какой метод?

надо понимать, что если находится какая-то "дырка", то она затыкается производителем по мере возможности. мы например стараемся очень быстро на такое реагировать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

У нас в Zlock еще с 2006 года есть мониторинг, который позволяет оперативно оповещать администраторов об отключении/недоступности агентов. Также можно включить контроль целостности, тогда ОС не загрузится при отключении Zlock.

При этом всегда стоит учитывать, что кроме технической защиты агентов, обязательно должны быть предусмотрены административные рычаги. Мы всегда говорим об этом заказчикам. В противном случае это как знак "кирпич", при проезде под который сотрудники ГАИ будут уныло смотреть на нарушителя и сетовать, что у них в распоряжении только "маленький" знак, который не мешает проезду.

Андрей,

поддержу Ашота, хотелось бы услышать конкретные примеры, где самозащита у SecrecyKeeper была лучше, чем у других решений на рынке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • PR55.RP55
      + DOTPITCH.INC
      Huai'an Qianfeng Network Technology Co., Ltd.
      Suzhou Xingchen Network Technology Co., Ltd.
      Kunshan Kuaila Information Technology Co., Ltd.
      RuiQing Software Technology Beijing Inc.
    • Lexluthor87
       Из своего личного опыта  могу поделиться следующей информацией. Кто-нибудь знаком с порядком получения микрокредитов в интернете? Я сам множество раз встречал в сети рекламу, типа, мгновенно любую сумму на ваш счет, без поручителей и залога, нужен только паспорт и ИНН...На днях срочно понадобились 3300 дол США  на 5-6 дней, и я начал искать варианты, типа быстроденьги и т.д. Я долго искал именно такой вариант, чтобы минимально переплачивать на процентах. Как я понял, в среднем процентные ставки микрокредитов в 2018 году составляют около 1-3% в день, это в основном зависит от суммы кредита. Но есть и варианты кредитов со ставкой менее 1%!!! Ставки 0,5-0,17% в день!!! Я нашел сам когда залез на https://fin32.com/ua , там куча предложений, пришлось перечитать массу вариантов, но оно того стоило. кому надо - пробуйте)
    • seomasterpro
      Если Ваш сайт работает на WordPress, то рекомендую установить плагин "Anti-Malware Security and Brute-Force Firewall".  Данный плагин является одним из немногих, что способны не только обнаруживать вредоносный код, но и умеют  удалять его. Функции и возможности. Автоматическое устранение известных угроз. Возможность загрузки определений новых угроз по мере их обнаружения. Автоматическое обновление версий TimThumb для устранения уязвимостей. Автоматическая установка обновления WP-login.php, чтобы блокировать атаку brute force. Возможность настроек сканирования. Запуск быстрого сканирования из админ. панели или полное сканирование из настроек плагина. Если Вам нужны рекомендации как пользоваться данным плагином для выявления вредоносных кодов на Вашем сайте, то можете обратиться к спецам от веб-студии на https://seo-master.pro Без регистрации плагин работает только в режиме сканирования. Регистрация плагина позволяет получить доступ к новым определениям «известных угроз» и другим функциям таким, как автоматическое удаление, а также патчи для конкретных уязвимостей , таких как старые версии TimThumb. Обновленные файлы определения могут быть загружены автоматически после того, как только Ваш ключ зарегистрирован. В противном случае, этот плагин просто сканирует на наличие потенциальных угроз и предоставляет Вам самостоятельно определять и удалять вредоносный код.
    • PR55.RP55
      Я с какой целью вам дал ссылку ? Откройте. И, если уж пишите про PC то стоит привести его характеристики. Asus k50c 2008 год; Windows 7; Одноядерный - Celeron 220 с тактовой частотой 1200 МГц; Память: DDR2 - 2ГБ. встроенная видеокарта: SiS Mirage 3+; HDD на 250 ГБ  
    • kostepanych
      А комодо без проблем работает без инета? Можно ли обновлять базы без инета, скачав обновления с официального сайта на другом компе?
      И не будет ли он сильно грузить старый ноут Asus k50c?