DLP-агент использовать можно, полагаться на него – вряд ли

Может показаться, что в 2017 году DLP-системы стали настолько привычным явлением в информационной безопасности, что вопросы перехвата трафика ушли на второй план.

Подходы различных производителей DLP к тому, какой трафик и где следует собирать, как правило, уходят корнями в их собственный опыт первых удачных проектов. Очевидно, что опыт этот варьировался от вендора к вендору, поскольку инфраструктура предприятия – вещь достаточно индивидуальная, да и личные предпочтения специалистов по информационной безопасности тоже оказывали свое влияние.

Тем не менее, в итоге сегодня практически любая DLP-система способна собирать трафик на почтовых серверах, сетевом шлюзе, прокси-сервере и конечных рабочих станциях. Однако этот последний пункт до сих пор вызывает много споров. Для одних агент DLP – панацея от всех угроз, для других – страдание. Об этом и хочется поговорить в данной статье.

Зачем вообще устанавливать агенты?

По классике DLP, агент требуется, чтобы обеспечивать на рабочих станциях контроль данных в покое (Data-at-rest) и данных в использовании (Data-in-use). Data-in-motion на 95% покрывается на уровне серверов, что не может не радовать.

В теории добавление агентского DLP позволяет не только осуществлять поиск конфиденциальной информации на ПК сотрудников, но и контролировать её обращение в ситуациях, когда машина находится не в сети, или когда информацией активно пользуются. Однако на практике вместе с широкими возможностями агенты несут с собой и массу трудностей.

Проблемы с установкой

Во-первых, агенты очень проблематично разворачивать. Ловушка здесь кроется на пилотных проектах: обычно агенты без проблем устанавливаются на несколько десятков или сотен машин, а вот когда наступает время промышленного внедрения, и тысячи машин должны обзавестись агентскими модулями, начинается самое интересное.

Когда у организации возникают проблемы с установкой DLP-агентов, первым свою дозу негатива, конечно, получает конкретный производитель. Но если пообщаться с опытными ИБ-специалистами, оказывается, что проблема глобальная. Попробуйте поискать что-то вроде «dlp agent not install» или «dlp agent problem». Вы обнаружите сотни страниц форумов, где пользователи жалуются на агентские модули мировых гигантов DLP.

Конфликты с имеющимся ПО

Было время, когда любой приличный антивирус моментально детектировал DLP-агента как вредоносное ПО. Со временем большинству производителей удалось решить эту проблему. Но важно помнить, что чем могущественнее агент и чем больше скрытых функций ОС он использует, тем выше вероятность конфликта.

По рынку некоторое время ходила история про некую организацию в Республике Беларусь, где был установлен антивирус ВирусБлокАда. Чтобы развернуть в организации агентскую часть DLP, вендору пришлось в срочном порядке разрабатывать «интеграционное решение» с данным антивирусным ПО. Поэтому когда вы слышите, что у решения есть интеграция с тем или иным антивирусом, в большинстве случаев имеется в виду не взаимный обмен событиями ИБ, а именно неконфликтность с DLP-агентом.

Контентный анализ на рабочей станции

Агентский модуль вынужден довольствоваться ограниченными ресурсами рабочей станции сотрудника, а она обычно представляет собой офисный десктоп или ноутбук, рассчитанный на работу с документами, почтовый клиентом и браузером. При всём при этом агент должен осуществлять контентный анализ прямо на рабочей станции. Это бьёт по производительности, и особенно сильно – если организация использует «развесистые» политики, нацеленные на защиту больших объёмов конфиденциальных данных, таких как выгрузки из баз данных или графических документов. Вы знаете, как работает OCR на рабочей станции или детектор печатей на большом объёме? Стоит один раз увидеть, чтобы навсегда запомнить.

Ложные срабатывания

В последнее время заметна тенденция к комбинированному использованию различных DLP-систем в одной инфраструктуре. Заказчики собирают лучшие функции от нескольких решений, и потом начинается творческий процесс настройки этого зоопарка. Проблема заключается в том, что разные решения начинают перехватывать один и тот же трафик и слать по 2-3 уведомления на одно и то же событие – конечно, в разные консоли. Разумеется, это приводит к тому, что место в архивах очень быстро заканчивается. И наконец, когда рабочая станция падает, начинается расследование, какой агент в этом виноват.

Агенты поддерживают не все платформы

Идеальная картинка инфраструктуры выглядит так: все пользователи используют одинаковые рабочие станции, например, на Windows 7 или даже на Windows 8, все проблемы совместимости с которой остались в прошлом. Этот идеал редко встречается в реальности, но даже если ваша компания – то самое редкое исключение, на повестке дня уже переход на Windows 10.

Проблема состоит в том, что далеко не все производители могут гарантировать стабильную работу агента с этой ОС. Например, если зайти на официальные ветки сообществ поддержки западных вендоров, можно увидеть большое число жалоб на несовместимость с новым творением Microsoft. Если вспомнить, как компания мастерски выкручивает руки антивирусным производителям, с продуктами которых ОС всё чаще конфликтует, то складывается впечатление, что Microsoft это на руку и скоро они доберутся до остальных endpoint-решений, чтобы навязать свои условия сотрудничества. Пользователям такая нестабильность с поддержкой грозит постоянными обновлениями и внезапными отказами DLP-агентов.

Мобильный агент – лучше убейте

Примерно в 2012 году компания Symantec ознаменовала новую эру развития DLP – предотвращение утечек на мобильных устройствах. Их решение заключалось в том, что iPhone или iPad настроен на работу через VPN-туннель, который направляет весь трафик устройства на сервер DLP, где происходит проверка политик. Что ж, технически все реализовано очень прозрачно. Только вы когда-нибудь пробовали проходить целый день с поднятым VPN? Остаётся только догадываться, как быстро разряжается батарея устройства. Тем более, в данном примере ни о каком агентском DLP на мобильном устройстве речи не идёт. Зная, как резко негативно Apple относится к любым фоновым приложениям, и, уж тем более, к тем, которые вмешиваются в процесс обработки данных, такому агенту не суждено появиться на свет. Неизвестно, почему Symantec не разработал DLP-решение под Android. Возможно, проблема в сегментации операционной системы, и разработчикам будет очень сложно поддерживать разные версии агентов для всех моделей телефонов. Да и для большинства процедур перехвата трафика потребуется рутовать устройство, а далеко не каждый опытный безопасник позволит делать это даже доверенному производителю.

Выводы

Полномасштабное внедрение DLP-системы сложно представить без мониторинга конечных точек. Ограничение на использование USB-носителей, контроль буфера обмена – эти каналы получается контролировать только на стороне агента.

Если же говорить про коммуникационный трафик, то современные технологии позволяют перехватывать почти всё на сетевом шлюзе и прокси-сервере. Даже анализировать SSL-трафик в прозрачном режиме без настроек в свойствах браузера. Поэтому мы рекомендуем всегда разумно подходить к выбору перехватчиков. Слишком часто решение «проще на агенте» оказывается глубоко ошибочным.