Агенты DLP на EndPoint и их самозащита

[Сергей Ильин 1538]

Многие производители средств защиты от утечек информации (DLP) предлагают решения для контроля за хранимой на рабочих станциях конфиденциальной информацией, мониторингов действий с этой информацией, оповещения о нарушениях, предотвращения неправомерного копирования, записи на внешние носители, пересылка и т.п.

Т.е. мы можем контролировать и присекать перемещения конфиденциальной информации внутри сети, не допускать ее копирование на внешние носители и мобильные устройства в том числе и по кускам. Более того, DLP-агент на рабочей станции, которой может быть и ноутбук блокирует утечку даже если компьютер покинет корпоративную сеть. Вроде бы все красиво выглядит, но меня смущает аспект защиты агента.

Что мешает инсайдеру с админскими провами просто прибить агента и спокойно слить всю инфу? Да может и админские права не нужны будут ...

Какой смысл в DLP на уровне EndPoint, если любой более менее продвинутый инсайдер сможет ее вырубить? Какие будут мнения у сообщества на этот счет?

[nones 5]

Какой смысл в DLP на уровне EndPoint, если любой более менее продвинутый инсайдер сможет ее вырубить? Какие будут мнения у сообщества на этот счет?

А есть какие-нибудь подробности на каком уровне работают DLP агенты на EndPoint? Имхо .. не каждый даже продвинутый инсайдер сможет покопаться в драйверах и что-нибудь там корректно отключить.

[iCent 0]

Что мешает инсайдеру с админскими провами

Ну это уже другой вопрос. С таким же успехом можно спросить: а что мешает вендору\начальнику службы безопасности\администратору сети быть инсайдером. А у обычных юзеров не должно быть админских прав.

[BDV 10]

ну как же. если DLP убить, то доступ к сети пропадает в грамотной DLP + доступ к локальным зашифрованным секретным данным. это все равно что к сетке подрубить компьютер левый без установленной DLP - она будет отторгнута всеми агентами в сети как чужая. по крайней мере в Verdasys так.

[Ashot 110]

Какой смысл в DLP на уровне EndPoint, если любой более менее продвинутый инсайдер сможет ее вырубить

вопросом на вопрос - какой смысл в DLP на гейте, если любой _непродвинутый_ инсайдер может подключить мобилку и слить по GPRS/EDGE/3g все минуя гейт. Или воткнуть WiFi-dongle и перелить все point-to-point на свой iPhone/Laptop/Smartphone

нет счастья в жизни

[broker 30]

Многие производители DLP решений изменили модели угроз и сейчас считают, что

продвинутый инсайдер

в неё не входит.

Но если рассмотреть DeviceLock, то инсайдер должен быть очень продвинутый и обладать хорошими полномочиями и знаниями для отключения агента.

В общем случае я встречал много решений с наличием контроля состояния удалённого агента и функцией обеспечения его живучести, наверное сейчас проблемы обеспечения живучести клиентского агента - нет.

[Кирилл Керценбаум 671]

Насколько я знаю, практически все решения DLP содержат определенный набор средств защиты, основные из них используются как раз на агентах для рабочих станциях: начиная с того, что агенты работают на уровне ядра операционной системы заканчивая тем, что используются определенные механизмы защиты от отключения, а также мониторинг с уведомлением Администратора о том что какие-то агенты пытаются выключить или уже выключили

[Сергей Ильин 1538]

ну как же. если DLP убить, то доступ к сети пропадает в грамотной DLP + доступ к локальным зашифрованным секретным данным. это все равно что к сетке подрубить компьютер левый без установленной DLP - она будет отторгнута всеми агентами в сети как чужая. по крайней мере в Verdasys так.

Это если компьютер в корпоративной сети находится и его можно контролировать политиками безопасности. Тут можно и права ограничить и много чего еще. Проблемы начинаются, когда ноутбут с конфиденциальной инфой покинул сеть. Вот тогда можно уйти в безконечные фантазии на тему "как убить/обойти агента и скопировать инфу".

вопросом на вопрос - какой смысл в DLP на гейте, если любой _непродвинутый_ инсайдер может подключить мобилку и слить по GPRS/EDGE/3g все минуя гейт. Или воткнуть WiFi-dongle и перелить все point-to-point на свой iPhone/Laptop/Smartphone wink.gif

Безусловно обойти гейт также просто, если не защищены рабочие станции. У меня вызывает сомнения эффективность защиты endpoint агентов на мобильных компьютерах, которые могут покидать корпоративную сеть. Эта фишка сейчас активно маркетирутся некоторыми вендорами.

Ну это уже другой вопрос. С таким же успехом можно спросить: а что мешает вендору\начальнику службы безопасности\администратору сети быть инсайдером. А у обычных юзеров не должно быть админских прав.

Не должно быть, но как правило именно у пользователей ноутбуков они и есть. Ведь ноуты как замена десктопу использует, как правило, руководство. На нем же они дома "работают", смотрят порнушку и т.п.

Спросите у broker'а, будут ли деректора мериться с урезанными правами на своих ноутах.

[Ashot 110]

У меня вызывает сомнения эффективность защиты endpoint агентов на мобильных компьютерах, которые могут покидать корпоративную сеть.

поэтому я и написал "нет счастья в жизни". это действительно так. в конце-концов лаптоп могут "потерять", если уж совсем важные данные и даже заявление из милиции принесут ("украли").

[broker 30]

У меня вызывает сомнения эффективность защиты endpoint агентов на мобильных компьютерах, которые могут покидать корпоративную сеть.

Интересно, они офлайн или онлайн работают!? нужна ли агенту связь с центральным сервером.. ?

[Ashot 110]

нтересно, они офлайн или онлайн работают!? нужна ли агенту связь с центральным сервером

А кто "они"? Есть разные решения. Конечно, offline-режим должен поддерживаться так или иначе, иначе это не юзабельно для современных компаний, где сотрудники с лаптопами...

[Ego1st 95]

Какой смысл в DLP на уровне EndPoint

а я вообще, в том что сейчас называеться DLP не вижу какого-нибудь смысла.

[Сергей Ильин 1538]

Интересно, они офлайн или онлайн работают!? нужна ли агенту связь с центральным сервером.. ?

Есть DLP решения, в которых часть на EndPoint работает не зависимо, находится ли юзер в сети или за ее пределами, а также не зависимо онлайн он или оффлайн. Кирилл может рассказать про Symantec DLP, как там это сделано, например.

При это самозащита агентов сделана может быть по-разному, но убить их не так просто, порой сложнее чем антивирусы Опять в качестве примера, общался с разработчиками Infowatch Device Monitor как раз после нашего теста самозащиты антивирусов, так там не так просто вынести его с машины. Понятно, что можно, но далеко не каждый даже продвинутый пользователь с правами админа сможет это сделать.

Ашот, я уверен тоже может проиллюстрировать, как защищен DeviceLock.

а я вообще, в том что сейчас называеться DLP не вижу какого-нибудь смысла.

Предлагаю создать тему, подискутируем

[andrey golubev 15]

смотрели защиту агентов для zLock, NetMonitor, DeviceLock и SecrecyKeeper примерно год назад

у первых двух защиты от админа не было вообще

у DeviceLock защита есть, но обходится, хотя не думаю, что средний админ справится

у SecrecyKeeper была на тот момент самая продвинутая, метод отключающий DeviceLock с ней не прошел

на какой-то выставке (примерно в октябре 2008) говорил с представителями Perimetrbx, по их словам уровень защиты как у DeviceLock, недостатки признали, но сказали, что эту угрозу актуальной не считают

[Ashot 110]

метод отключающий DeviceLock с ней не прошел

какой метод?

надо понимать, что если находится какая-то "дырка", то она затыкается производителем по мере возможности. мы например стараемся очень быстро на такое реагировать.

[Алeксaндр Кoвaлев 0]

У нас в Zlock еще с 2006 года есть мониторинг, который позволяет оперативно оповещать администраторов об отключении/недоступности агентов. Также можно включить контроль целостности, тогда ОС не загрузится при отключении Zlock.

При этом всегда стоит учитывать, что кроме технической защиты агентов, обязательно должны быть предусмотрены административные рычаги. Мы всегда говорим об этом заказчикам. В противном случае это как знак "кирпич", при проезде под который сотрудники ГАИ будут уныло смотреть на нарушителя и сетовать, что у них в распоряжении только "маленький" знак, который не мешает проезду.

Андрей,

поддержу Ашота, хотелось бы услышать конкретные примеры, где самозащита у SecrecyKeeper была лучше, чем у других решений на рынке.