Сергей Ильин

Агенты DLP на EndPoint и их самозащита

В этой теме 16 сообщений

Многие производители средств защиты от утечек информации (DLP) предлагают решения для контроля за хранимой на рабочих станциях конфиденциальной информацией, мониторингов действий с этой информацией, оповещения о нарушениях, предотвращения неправомерного копирования, записи на внешние носители, пересылка и т.п.

Т.е. мы можем контролировать и присекать перемещения конфиденциальной информации внутри сети, не допускать ее копирование на внешние носители и мобильные устройства в том числе и по кускам. Более того, DLP-агент на рабочей станции, которой может быть и ноутбук блокирует утечку даже если компьютер покинет корпоративную сеть. Вроде бы все красиво выглядит, но меня смущает аспект защиты агента.

Что мешает инсайдеру с админскими провами просто прибить агента и спокойно слить всю инфу? Да может и админские права не нужны будут ...

Какой смысл в DLP на уровне EndPoint, если любой более менее продвинутый инсайдер сможет ее вырубить? Какие будут мнения у сообщества на этот счет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Какой смысл в DLP на уровне EndPoint, если любой более менее продвинутый инсайдер сможет ее вырубить? Какие будут мнения у сообщества на этот счет?

А есть какие-нибудь подробности на каком уровне работают DLP агенты на EndPoint? Имхо .. не каждый даже продвинутый инсайдер сможет покопаться в драйверах и что-нибудь там корректно отключить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Что мешает инсайдеру с админскими провами

Ну это уже другой вопрос. С таким же успехом можно спросить: а что мешает вендору\начальнику службы безопасности\администратору сети быть инсайдером. А у обычных юзеров не должно быть админских прав.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ну как же. если DLP убить, то доступ к сети пропадает в грамотной DLP + доступ к локальным зашифрованным секретным данным. это все равно что к сетке подрубить компьютер левый без установленной DLP - она будет отторгнута всеми агентами в сети как чужая. по крайней мере в Verdasys так.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Какой смысл в DLP на уровне EndPoint, если любой более менее продвинутый инсайдер сможет ее вырубить

вопросом на вопрос - какой смысл в DLP на гейте, если любой _непродвинутый_ инсайдер может подключить мобилку и слить по GPRS/EDGE/3g все минуя гейт. Или воткнуть WiFi-dongle и перелить все point-to-point на свой iPhone/Laptop/Smartphone ;)

нет счастья в жизни ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Многие производители DLP решений изменили модели угроз и сейчас считают, что

продвинутый инсайдер
в неё не входит.

Но если рассмотреть DeviceLock, то инсайдер должен быть очень продвинутый и обладать хорошими полномочиями и знаниями для отключения агента.

В общем случае я встречал много решений с наличием контроля состояния удалённого агента и функцией обеспечения его живучести, наверное сейчас проблемы обеспечения живучести клиентского агента - нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Насколько я знаю, практически все решения DLP содержат определенный набор средств защиты, основные из них используются как раз на агентах для рабочих станциях: начиная с того, что агенты работают на уровне ядра операционной системы заканчивая тем, что используются определенные механизмы защиты от отключения, а также мониторинг с уведомлением Администратора о том что какие-то агенты пытаются выключить или уже выключили

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ну как же. если DLP убить, то доступ к сети пропадает в грамотной DLP + доступ к локальным зашифрованным секретным данным. это все равно что к сетке подрубить компьютер левый без установленной DLP - она будет отторгнута всеми агентами в сети как чужая. по крайней мере в Verdasys так.

Это если компьютер в корпоративной сети находится и его можно контролировать политиками безопасности. Тут можно и права ограничить и много чего еще. Проблемы начинаются, когда ноутбут с конфиденциальной инфой покинул сеть. Вот тогда можно уйти в безконечные фантазии на тему "как убить/обойти агента и скопировать инфу".

вопросом на вопрос - какой смысл в DLP на гейте, если любой _непродвинутый_ инсайдер может подключить мобилку и слить по GPRS/EDGE/3g все минуя гейт. Или воткнуть WiFi-dongle и перелить все point-to-point на свой iPhone/Laptop/Smartphone wink.gif

Безусловно обойти гейт также просто, если не защищены рабочие станции. У меня вызывает сомнения эффективность защиты endpoint агентов на мобильных компьютерах, которые могут покидать корпоративную сеть. Эта фишка сейчас активно маркетирутся некоторыми вендорами.

Ну это уже другой вопрос. С таким же успехом можно спросить: а что мешает вендору\начальнику службы безопасности\администратору сети быть инсайдером. А у обычных юзеров не должно быть админских прав.

Не должно быть, но как правило именно у пользователей ноутбуков они и есть. Ведь ноуты как замена десктопу использует, как правило, руководство. На нем же они дома "работают", смотрят порнушку и т.п. :)

Спросите у broker'а, будут ли деректора мериться с урезанными правами на своих ноутах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
У меня вызывает сомнения эффективность защиты endpoint агентов на мобильных компьютерах, которые могут покидать корпоративную сеть.

поэтому я и написал "нет счастья в жизни". это действительно так. в конце-концов лаптоп могут "потерять", если уж совсем важные данные и даже заявление из милиции принесут ("украли").

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
У меня вызывает сомнения эффективность защиты endpoint агентов на мобильных компьютерах, которые могут покидать корпоративную сеть.

Интересно, они офлайн или онлайн работают!? нужна ли агенту связь с центральным сервером.. ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
нтересно, они офлайн или онлайн работают!? нужна ли агенту связь с центральным сервером

А кто "они"? Есть разные решения. Конечно, offline-режим должен поддерживаться так или иначе, иначе это не юзабельно для современных компаний, где сотрудники с лаптопами...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Какой смысл в DLP на уровне EndPoint

а я вообще, в том что сейчас называеться DLP не вижу какого-нибудь смысла.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Интересно, они офлайн или онлайн работают!? нужна ли агенту связь с центральным сервером.. ?

Есть DLP решения, в которых часть на EndPoint работает не зависимо, находится ли юзер в сети или за ее пределами, а также не зависимо онлайн он или оффлайн. Кирилл может рассказать про Symantec DLP, как там это сделано, например.

При это самозащита агентов сделана может быть по-разному, но убить их не так просто, порой сложнее чем антивирусы :) Опять в качестве примера, общался с разработчиками Infowatch Device Monitor как раз после нашего теста самозащиты антивирусов, так там не так просто вынести его с машины. Понятно, что можно, но далеко не каждый даже продвинутый пользователь с правами админа сможет это сделать.

Ашот, я уверен тоже может проиллюстрировать, как защищен DeviceLock.

а я вообще, в том что сейчас называеться DLP не вижу какого-нибудь смысла.

Предлагаю создать тему, подискутируем ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

смотрели защиту агентов для zLock, NetMonitor, DeviceLock и SecrecyKeeper примерно год назад

у первых двух защиты от админа не было вообще

у DeviceLock защита есть, но обходится, хотя не думаю, что средний админ справится

у SecrecyKeeper была на тот момент самая продвинутая, метод отключающий DeviceLock с ней не прошел

на какой-то выставке (примерно в октябре 2008) говорил с представителями Perimetrbx, по их словам уровень защиты как у DeviceLock, недостатки признали, но сказали, что эту угрозу актуальной не считают

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
метод отключающий DeviceLock с ней не прошел

какой метод?

надо понимать, что если находится какая-то "дырка", то она затыкается производителем по мере возможности. мы например стараемся очень быстро на такое реагировать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

У нас в Zlock еще с 2006 года есть мониторинг, который позволяет оперативно оповещать администраторов об отключении/недоступности агентов. Также можно включить контроль целостности, тогда ОС не загрузится при отключении Zlock.

При этом всегда стоит учитывать, что кроме технической защиты агентов, обязательно должны быть предусмотрены административные рычаги. Мы всегда говорим об этом заказчикам. В противном случае это как знак "кирпич", при проезде под который сотрудники ГАИ будут уныло смотреть на нарушителя и сетовать, что у них в распоряжении только "маленький" знак, который не мешает проезду.

Андрей,

поддержу Ашота, хотелось бы услышать конкретные примеры, где самозащита у SecrecyKeeper была лучше, чем у других решений на рынке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • PR55.RP55
      cmad Если у вас на PC вирус - то вам нужно обратиться на один из специализированных форумов. Так в Случае, если у вас антивирус от: Kaspersky - то на их форум:  https://forum.kasperskyclub.ru/index.php?showforum=26 Dr.Web -то: https://forum.drweb.com/index.php?showforum=35 ESET NOD32: https://forum.esetnod32.ru/forum35/ Это нужно, чтобы удалить вирус и бесплатно расшифровать ваши файлы ( если возможно ).  
    • cmad
      кто нибудь лечился от шифровальщика ?  научите как...
    • djum
      Ну, вообще сейчас полно антивирусов на андроид... Правда не знаю, насколько он функциональны... У меня NOD стоит, поставил его себе потому что на обзорах Гикхакера вроде как один из лучших.. Хотя и каспера вроде хвалят... Но тут уже конечно каждый под себя выбирает, что удобнее и вкуснее лично для него...
    • djum
      А вообще конечно тема и нтересная... Кто-нибудь юзал фришного Каспера? У меня то лицуха вот уже как 3  года, но посмотрел порылся, на Гикхакере допустим его хвалят, а вот на 4пда не самые лучшие отзывы... Интересно было бы отзывы от реальных пользователей услышать...
    • AM_Bot
      Глава Fortinet в России рассказал Anti-Malware.ru о рынке сетевой безопасности и особенностях конкуренции в нашей стране, а также о том, что стоит за понятием Security Fabric и почему физические фаерволы популярнее виртуальных. Читать далее