Агентские системы защиты от утечек информации

Агентские DLP-системы защиты от утечек информации— это системы защиты от утечек конфиденциальной информации уровня хоста. Особенностью таких систем служит то, что они устанавливаются на конечные точки — рабочие места сотрудников организации. Это позволяет контролировать действия пользователей на местах в соответствии с настроенной политикой безопасности и в то же время логировать все их действия. Все системные данные обычно хранятся в централизованном хранилище, к которому есть доступ только у администраторов информационной безопасности, и они могут проводить расследования в случае утечек конфиденциальной информации.

Хостовые DLP позволяют контролировать следующее:

• Общение по электронной почте (по протоколам SMTP, IMAP, POP3, MAPI) как с внутренними электронными адресами компании, так и с внешними.
• Общение сотрудников в мессенджерах, таких как Skype, ICQ, Jabber, Telegram, WhatsApp  и т. д.
• Общение сотрудников в социальных сетях Вконтакте, Facebook, Одноклассники и пр.
• Работу сотрудников по протоколу HTTP/HTTPs.
• Отправку файлов и данных по протоколу FTP и FTPs.
• Копирование файлов на внешние носители информации.
• Копирование данных в буфер обмена.
• Печать документов на принтере.

Помимо этого, DLP уровня хоста позволяют контролировать текст, введенный пользователями на клавиатуре, записывать аудио с микрофона рабочего компьютера, делать скриншоты и записывать видео экрана во время работы сотрудников, отслеживать открываемые файлы и запускаемые процессы, а также производить запись IP-телефонии. 

К достоинствам хостовых систем защиты от утечек конфиденциальной информации можно отнести широкий выбор возможностей по контролю действий сотрудников, с возможностью блокирования передачи данных. В отличие от сетевых компонентов DLP-систем DLP уровня хоста позволяют анализировать потоки информации не только на сетевом уровне. Это может быть полезно для отслеживания действий сотрудников и отслеживания случаев нецелевого использования ресурсов компании.

У такого решения существуют несколько недостатков — сложности при внедрении и дальнейшей эксплуатации. Несмотря на то, что хостовые DLP могут включать в себя компоненты централизованного управления, процесс внедрения занимает немало времени. Для установки хостовых агентов необходимо составить список контролируемых компьютеров и создать задачу на установку. Некоторые DLP-системы начинают свою работу только после перезагрузки системы. В случае, когда DLP-система внедряется в тайне от пользователей, необходимо обосновать требование к перезагрузке. Трудности при эксплуатации заключаются в настройке и применении политик. В таких системах есть возможность создания групп компьютеров, для которых создаются специальные политики. Однако если между модулем централизованного управления и конечных хостов было потеряно сетевое взаимодействие, DLP уровня хоста не сможет получить обновленную политику и будет производить анализ и блокирование передачи данных до тех пор, пока не появится связь и политики не обновятся.

Разработчики DLP-систем создают возможности для скрытой установки агентов на конечные рабочие места пользователей, есть риск того, что сотрудник выявит факт установки и отключит защиту. Это может случиться, когда у пользователя имеются права локального администратора на рабочем компьютере и в случае его компетенции в данном вопросе. Если сотрудник сумел отключить DLP-систему на своем компьютере, то администратор безопасности не сможет получать с него данные. Администратор сможет увидеть уведомление о прекращении работы агентов, если такая возможность поддерживается DLP-системой. 

Агентские DLP имеют преимущество перед сетевыми DLP при использовании их в средах виртуализации и VDI. Когда трафик не выходит за пределы одного физического хоста, сетевая DLP не сможет производить сбор и анализ передаваемых данных, в то время как возможности хостового DLP позволят адекватно контролировать конфиденциальную информацию на виртуальных машинах и ее передачу между ними.