Перейти к содержанию
Сергей Ильин

Агенты DLP на EndPoint и их самозащита

Recommended Posts

Сергей Ильин

Многие производители средств защиты от утечек информации (DLP) предлагают решения для контроля за хранимой на рабочих станциях конфиденциальной информацией, мониторингов действий с этой информацией, оповещения о нарушениях, предотвращения неправомерного копирования, записи на внешние носители, пересылка и т.п.

Т.е. мы можем контролировать и присекать перемещения конфиденциальной информации внутри сети, не допускать ее копирование на внешние носители и мобильные устройства в том числе и по кускам. Более того, DLP-агент на рабочей станции, которой может быть и ноутбук блокирует утечку даже если компьютер покинет корпоративную сеть. Вроде бы все красиво выглядит, но меня смущает аспект защиты агента.

Что мешает инсайдеру с админскими провами просто прибить агента и спокойно слить всю инфу? Да может и админские права не нужны будут ...

Какой смысл в DLP на уровне EndPoint, если любой более менее продвинутый инсайдер сможет ее вырубить? Какие будут мнения у сообщества на этот счет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nones
Какой смысл в DLP на уровне EndPoint, если любой более менее продвинутый инсайдер сможет ее вырубить? Какие будут мнения у сообщества на этот счет?

А есть какие-нибудь подробности на каком уровне работают DLP агенты на EndPoint? Имхо .. не каждый даже продвинутый инсайдер сможет покопаться в драйверах и что-нибудь там корректно отключить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
iCent
Что мешает инсайдеру с админскими провами

Ну это уже другой вопрос. С таким же успехом можно спросить: а что мешает вендору\начальнику службы безопасности\администратору сети быть инсайдером. А у обычных юзеров не должно быть админских прав.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
BDV

ну как же. если DLP убить, то доступ к сети пропадает в грамотной DLP + доступ к локальным зашифрованным секретным данным. это все равно что к сетке подрубить компьютер левый без установленной DLP - она будет отторгнута всеми агентами в сети как чужая. по крайней мере в Verdasys так.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot
Какой смысл в DLP на уровне EndPoint, если любой более менее продвинутый инсайдер сможет ее вырубить

вопросом на вопрос - какой смысл в DLP на гейте, если любой _непродвинутый_ инсайдер может подключить мобилку и слить по GPRS/EDGE/3g все минуя гейт. Или воткнуть WiFi-dongle и перелить все point-to-point на свой iPhone/Laptop/Smartphone ;)

нет счастья в жизни ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Многие производители DLP решений изменили модели угроз и сейчас считают, что

продвинутый инсайдер
в неё не входит.

Но если рассмотреть DeviceLock, то инсайдер должен быть очень продвинутый и обладать хорошими полномочиями и знаниями для отключения агента.

В общем случае я встречал много решений с наличием контроля состояния удалённого агента и функцией обеспечения его живучести, наверное сейчас проблемы обеспечения живучести клиентского агента - нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Насколько я знаю, практически все решения DLP содержат определенный набор средств защиты, основные из них используются как раз на агентах для рабочих станциях: начиная с того, что агенты работают на уровне ядра операционной системы заканчивая тем, что используются определенные механизмы защиты от отключения, а также мониторинг с уведомлением Администратора о том что какие-то агенты пытаются выключить или уже выключили

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
ну как же. если DLP убить, то доступ к сети пропадает в грамотной DLP + доступ к локальным зашифрованным секретным данным. это все равно что к сетке подрубить компьютер левый без установленной DLP - она будет отторгнута всеми агентами в сети как чужая. по крайней мере в Verdasys так.

Это если компьютер в корпоративной сети находится и его можно контролировать политиками безопасности. Тут можно и права ограничить и много чего еще. Проблемы начинаются, когда ноутбут с конфиденциальной инфой покинул сеть. Вот тогда можно уйти в безконечные фантазии на тему "как убить/обойти агента и скопировать инфу".

вопросом на вопрос - какой смысл в DLP на гейте, если любой _непродвинутый_ инсайдер может подключить мобилку и слить по GPRS/EDGE/3g все минуя гейт. Или воткнуть WiFi-dongle и перелить все point-to-point на свой iPhone/Laptop/Smartphone wink.gif

Безусловно обойти гейт также просто, если не защищены рабочие станции. У меня вызывает сомнения эффективность защиты endpoint агентов на мобильных компьютерах, которые могут покидать корпоративную сеть. Эта фишка сейчас активно маркетирутся некоторыми вендорами.

Ну это уже другой вопрос. С таким же успехом можно спросить: а что мешает вендору\начальнику службы безопасности\администратору сети быть инсайдером. А у обычных юзеров не должно быть админских прав.

Не должно быть, но как правило именно у пользователей ноутбуков они и есть. Ведь ноуты как замена десктопу использует, как правило, руководство. На нем же они дома "работают", смотрят порнушку и т.п. :)

Спросите у broker'а, будут ли деректора мериться с урезанными правами на своих ноутах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot
У меня вызывает сомнения эффективность защиты endpoint агентов на мобильных компьютерах, которые могут покидать корпоративную сеть.

поэтому я и написал "нет счастья в жизни". это действительно так. в конце-концов лаптоп могут "потерять", если уж совсем важные данные и даже заявление из милиции принесут ("украли").

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
У меня вызывает сомнения эффективность защиты endpoint агентов на мобильных компьютерах, которые могут покидать корпоративную сеть.

Интересно, они офлайн или онлайн работают!? нужна ли агенту связь с центральным сервером.. ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot
нтересно, они офлайн или онлайн работают!? нужна ли агенту связь с центральным сервером

А кто "они"? Есть разные решения. Конечно, offline-режим должен поддерживаться так или иначе, иначе это не юзабельно для современных компаний, где сотрудники с лаптопами...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
Какой смысл в DLP на уровне EndPoint

а я вообще, в том что сейчас называеться DLP не вижу какого-нибудь смысла.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Интересно, они офлайн или онлайн работают!? нужна ли агенту связь с центральным сервером.. ?

Есть DLP решения, в которых часть на EndPoint работает не зависимо, находится ли юзер в сети или за ее пределами, а также не зависимо онлайн он или оффлайн. Кирилл может рассказать про Symantec DLP, как там это сделано, например.

При это самозащита агентов сделана может быть по-разному, но убить их не так просто, порой сложнее чем антивирусы :) Опять в качестве примера, общался с разработчиками Infowatch Device Monitor как раз после нашего теста самозащиты антивирусов, так там не так просто вынести его с машины. Понятно, что можно, но далеко не каждый даже продвинутый пользователь с правами админа сможет это сделать.

Ашот, я уверен тоже может проиллюстрировать, как защищен DeviceLock.

а я вообще, в том что сейчас называеться DLP не вижу какого-нибудь смысла.

Предлагаю создать тему, подискутируем ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
andrey golubev

смотрели защиту агентов для zLock, NetMonitor, DeviceLock и SecrecyKeeper примерно год назад

у первых двух защиты от админа не было вообще

у DeviceLock защита есть, но обходится, хотя не думаю, что средний админ справится

у SecrecyKeeper была на тот момент самая продвинутая, метод отключающий DeviceLock с ней не прошел

на какой-то выставке (примерно в октябре 2008) говорил с представителями Perimetrbx, по их словам уровень защиты как у DeviceLock, недостатки признали, но сказали, что эту угрозу актуальной не считают

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot
метод отключающий DeviceLock с ней не прошел

какой метод?

надо понимать, что если находится какая-то "дырка", то она затыкается производителем по мере возможности. мы например стараемся очень быстро на такое реагировать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Алeксaндр Кoвaлев

У нас в Zlock еще с 2006 года есть мониторинг, который позволяет оперативно оповещать администраторов об отключении/недоступности агентов. Также можно включить контроль целостности, тогда ОС не загрузится при отключении Zlock.

При этом всегда стоит учитывать, что кроме технической защиты агентов, обязательно должны быть предусмотрены административные рычаги. Мы всегда говорим об этом заказчикам. В противном случае это как знак "кирпич", при проезде под который сотрудники ГАИ будут уныло смотреть на нарушителя и сетовать, что у них в распоряжении только "маленький" знак, который не мешает проезду.

Андрей,

поддержу Ашота, хотелось бы услышать конкретные примеры, где самозащита у SecrecyKeeper была лучше, чем у других решений на рынке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×