infowatch как удалить с компьютера
Недавно главный инфобезопасник конторы проболтался, что на офисные компьютеры некоторых избранных сотрудников нашей конторы (3 категории: особо отличившиеся, работающие с очень закрытой информацией и те, которых «готовят на выход») негласно устанавливается ПО infowatch, которое отслеживает всю их переписку, их походы в интернет, что они печатают и что они записывают на съемные носители. Слово «негласно» несколько напугало и в связи с подслушанным стало очень интересно, это ПО действительно может быть установлено так, что «жертва» ничего не заметит? Как можно обнаружить присутствие этого ПО на собственном ПК? Нужны ли админские права для выявления этих «троянцев»? Наконец, как можно их обезвредить, желательно так же негласно.
Нет, конечно всю «левую» (ту, которой у меня на компе не должно быть по моей работе, банальный пример — анкеты на визу) и закрытую (которую, по идее, я не должен забирать с работы но ведь иногда бывает необходимо что-то срочно сделать к следующему утру) информацию я пишу на носители, перезагрузившись с Hiren’s boot CD (да, эту лазейку пока не перекрыли), но не хочется из-за каждой мелочи перезагружать комп.
Что скажет уважаемое сообщество?
| От: | wildwind | |
| Дата: | 17.02.17 21:23 | |
| Оценка: | +2 | |
Здравствуйте, teapot2, Вы писали:
T>это ПО действительно может быть установлено так, что «жертва» ничего не заметит?
Иначе оно не стоило бы своих денег, не так ли?
T>Как можно обнаружить присутствие этого ПО на собственном ПК?
Если это не твой профиль, то скорее всего никак.
T>Нет, конечно всю «левую» (ту, которой у меня на компе не должно быть по моей работе, банальный пример — анкеты на визу) и закрытую (которую, по идее, я не должен забирать с работы но ведь иногда бывает необходимо что-то срочно сделать к следующему утру) информацию я пишу на носители, перезагрузившись с Hiren’s boot CD (да, эту лазейку пока не перекрыли), но не хочется из-за каждой мелочи перезагружать комп.
А почему лазейку не прикрыли, не задавался вопросом? Видимо, для того, чтобы отслеживать, кто ей пользуется. Вообще держать что-то левое на компе в конторе с такими порядками это главная ошибка. Наверное, ты уже либо в первой, либо в третьей категории.
Работал я в такой конторе. Очень неприятно. Свалил с радостью.
| От: | teapot2 |
| Дата: | 23.02.17 18:00 |
| Оценка: |
| От: | Michael7 |
| Дата: | 23.02.17 23:10 |
| Оценка: |
Здравствуйте, teapot2, Вы писали:
T>Я загрузил древнюю XP-шку с сидюка, сеть в этой конфигурации не настроена, никакие проги с жесткого диска не запускаются и драйверы не грузятся. Не могу себе представить, что в этих обстоятельствах кто-то может контролировать инфообен компа с его периферийными устройствами типа USB-портов. В «подземные стуки» я не верю.
Я не знаю как устроена эта софтина и что она может, но в принципе предположение, что никакие проги не запускаются до загрузки с CD-ROM неверное. Это возможно, BIOS вполне может что-то такое запускать. В UEFI это даже почти штатная возможность.
T> Собственно, почему и написал сюда.
Если качествено сделано хрен простыми способами обнаружишь. Но для начала можно взять прогу вроде Process Explorer и изучить весь список запущенных процессов (и автостартуемых) после старта системы. Кто что чего и откуда. Отдельно не грех проверить процесс svchost — настоящий ли он, кем запущен.
| От: | wildwind |
| Дата: | 24.02.17 12:42 |
| Оценка: |
Здравствуйте, teapot2, Вы писали:
T>Здравствуй, wildwind, спасибо за ответ, но хотелось бы понять, ты ответил со знанием дела (то бишь обсуждаемого продукта) или исходя из общих соображений, которые показались тебе разумными во время составления ответа?
Из общих соображений и личного опыта. С данным продуктом знаком только по описаниям.
T>каковы признаки присутствия этого софта? Он ставится как сервис или как-то еще? По какому протоколу он общается со своим шпионским центром?
Как правило, это драйвер или несколько, сервис и GUI процессы для информирования и управления. драйвера могут быть скрыты с использованием rootkit техник.
T>Я загрузил древнюю XP-шку с сидюка, сеть в этой конфигурации не настроена, никакие проги с жесткого диска не запускаются и драйверы не грузятся. Не могу себе представить, что в этих обстоятельствах кто-то может контролировать инфообен компа с его периферийными устройствами типа USB-портов. В «подземные стуки» я не верю.
| От: | Vasiliy2 |
| Дата: | 27.02.17 09:03 |
| Оценка: |
Здравствуйте, teapot2, Вы писали:
T>. отслеживает всю их переписку, их походы в интернет, что они печатают и что они записывают на съемные носители.
Конкретно с этой системой не знаком, но, зачастую, они, помимо прочего, делают снимки экрана и отсылают на базу. При недоступности сети они их складывают в укромное местечко, чтобы потом, при появлении возможности, скинуть их куда надо. Соответственно, отключив на некоторое время сеть (возможно на несколько дней), можно получить на диске скопление определенных файлов. Затем утилитой от sysinternals (не помню как она называется, возможно FileMonitor) можно пробежаться по диску и найти области файлов. Нужные будут лежать большой заметной однотипной кучкой, утилита покажет где они находятся. Глянув эти кучки можно определить точно там скриншоты или что-то безобидное. Точной информации метод может не дать, но как один из вариантов расследования может применяться.
| От: | ShaggyOwl | http://www.rsdn.org |
| Дата: | 07.03.17 19:35 | |
| Оценка: | +4 | |
Здравствуйте, teapot2, Вы писали:
T>Недавно главный инфобезопасник конторы проболтался, что на офисные компьютеры некоторых избранных сотрудников нашей конторы (3 категории: особо отличившиеся, работающие с очень закрытой информацией и те, которых «готовят на выход») негласно устанавливается ПО infowatch, которое отслеживает всю их переписку, их походы в интернет, что они печатают и что они записывают на съемные носители. Слово «негласно» несколько напугало и в связи с подслушанным стало очень интересно, это ПО действительно может быть установлено так, что «жертва» ничего не заметит? Как можно обнаружить присутствие этого ПО на собственном ПК? Нужны ли админские права для выявления этих «троянцев»? Наконец, как можно их обезвредить, желательно так же негласно.
T>Нет, конечно всю «левую» (ту, которой у меня на компе не должно быть по моей работе, банальный пример — анкеты на визу) и закрытую (которую, по идее, я не должен забирать с работы но ведь иногда бывает необходимо что-то срочно сделать к следующему утру) информацию я пишу на носители, перезагрузившись с Hiren’s boot CD (да, эту лазейку пока не перекрыли), но не хочется из-за каждой мелочи перезагружать комп.
T>Что скажет уважаемое сообщество?
* Весомая часть софта в корпоративной среде разворачивается прозрачно для пользователя, через групповые политики.
* Класс систем о которых ты говоришь называются DLP (data leak prevention). infowatch является производителем одной из (https://www.infowatch.ru/dlp).
* Великого смысла в проверке установлен ли у тебя агент dlp на компьютере не вижу. Если есть сомнения, считай, что установлен.
* Бороться и обходить их не надо, во избежание прямого конфликта с безопасниками. (Обоснование — взять документы домой, поработать, при разборе полётов будет выглядеть наивно.)
Upd. Необходимо понимать, что с точки зрения безопасника ситуации отключаются радикально:
* вынос документов
* вынос документов с предварительной попыткой отключения/обхода инструментов обеспечения безопасности
| От: | Somescout |
| Дата: | 10.03.17 19:44 |
| Оценка: |
Здравствуйте, Michael7, Вы писали:
M>Если качествено сделано хрен простыми способами обнаружишь. Но для начала можно взять прогу вроде Process Explorer и изучить весь список запущенных процессов (и автостартуемых) после старта системы.
Это если есть права админа. И если они есть, то у их безопасников реально странные представления о безопасности (хотя, конечно, возможность загрузки не с системного диска на «защищённом» ПК — это уже facepalm).
⭐ Как удалить infowatch device monitor client — Рейтинг сайтов по тематике на RANKW.RU
АВК. ИТ-аутсорсинг, обслуживание компьютеров, внедрение программных и инфраструктурных решений, организация информационной безопасности, ИТ-консалтинг, внедрение бизнес, серверных и портальных решений.
Введение
На сегодняшний день существует два основных типа каналов утечки конфиденциальной информации: сетевые и локальные. К первому относятся все сетевые сервисы, а ко второму – различного рода устройства, которые могут использоваться для переноса данных, включая принтеры. Для обеспечения полноценной защиты компании от утечек необходимо контролировать все перечисленные каналы.
Контроль каналов разных типов требует принципиально разных подходов к организации системы защиты. Для сетевых применяются шлюзовые решения, которые анализируют трафик, уходящий за пределы или обращающийся внутри корпоративной информационной системы. Для локальных каналов необходимо использование специальных защищенных программ-агентов, которые инсталлируются непосредственно на конечные точки сети (рабочие станции и серверы). Они постоянно работают на компьютерах и реализуют заложенную в них администратором безопасности политику. Важно, однако, чтобы соблюдался принцип единого информационного пространства в пределах инфраструктуры, контролируемой DLP-решением. Это означает, что высокоуровневые политики безопасности должны применяться единообразно как на шлюзе, так и на конечных устройствах.
Поэтому, в большинстве DLP-систем шлюзовая и локальная защита реализуются в виде отдельных, но взаимозависимых модулей. Примером подобного решения является InfoWatch Traffic Monitor Enterprise. Здесь модуль контроля устройств может передавать собранную информацию в InfoWatch Traffic Monitor, что позволяет аккумулировать всю статистику в едином месте и облегчает работу администраторов безопасности. Фактически на локальной машине пользователя осуществляется только сбор «теневых копий» перемещаемой информации – при копировании на внешние устройства и носители, сохраняются логи пользователей, копии сообщений, отправленных с помощью программ-мессенджеров. При необходимости эту информации можно обрабатывать средствами «большого» лингвистического модуля InfoWatch Device Monitor. Например, проводить лингвистический анализ документов на основе отраслевой базы контентной фильтрации.
В остальном InfoWatch Device Monitor напоминает традиционное хостовое DLP-решением. Данный модуль позволяет осуществлять мониторинг широкого спектра устройств, подключаемых к локальному компьютеру, включая принтеры, контролировать передаваемую на них информацию, блокировать работу потенциально опасного или нежелательного оборудования. То есть, речь идет о всем спектре функций, обычно выполняемых хостовыми DLP-системами. Глубокая интеграция модуля с InfoWatch Traffic Monitor позволяет анализировать трафик на таких каналах, которые недоступны для традиционных шлюзовых DLP. Например, данные, передаваемые через Skype.
Внедрение новейших продуктов от крупнейших разработчиков
Специалисты Azone IT имеют большой опыт реализации проектов по информационной безопасности, в том числе по внедрению DLP-систем в ИТ-инфраструктуру предприятия. Наши специалисты подбирают те программные средства, которые наиболее точно соответствуют объему трафика, характеру угроз, количеству пользователей и прочим особенностям предприятия, анализируя для этого все существующие факторы. Среди наших клиентов — крупнейшие коммерческие и государственные организации страны.
Лучшие ответы
Саня:
в автозапуске msconfig останови его. больше мешать не будет. а сам он где-то в скрытых Documents and Settings будет, я думаю
Виктория Бутенко:
ищешь в пуске «панель управления» и кликаешь на нее. там находишь либо «программы» либо «удаление программы».
если «программы», то «удаление программы»
если «удаление программы», то вбиваешь в поиске правом верхнем углу программу и найдя ее удаляешь
Владимир Шадурский:
История [ править | править код ]
Создание [ править | править код ]
В 2001 году в процессе совместного создания системы Kaspersky Anti-Spam «Лабораторией Касперского» и компанией «Ашманов и партнёры»[2] глава этой компании Игорь Ашманов, в числе прочего, подарил тогдашним партнёрам идею использования разработанного «АиП» движка «Антиспам» в обратном направлении, для защиты от утечек[3][4].
Специалисты «Лаборатории Касперского» в 2001—2002 годах разработали систему защиты корпоративных пользователей от внутренних угроз, позже ставшую известной под брендом InfoWatch Traffic Monitor Enterprise. В декабре 2003 года для развития и распространения нового продукта была основана дочерняя компания InfoWatch[5] с первоначальным штатом 10—12 сотрудников[6].
На фоне бурно растущей «Лаборатории Касперского» будущее этого продукта, впрочем, не выглядело столь определённым: рынка защиты от корпоративных утечек информации на тот момент попросту не существовало, эксперты не выделяли этот сегмент рынка как отдельную сущность[4]. Соответственно, у «Лаборатории» не было ни наработок по дистрибуции, ни особого желания в этот побочный для неё бизнес вкладываться[7].
Независимость [ править | править код ]
С октября 2007 года генеральным директором и владелицей контрольного пакета акций InfoWatch стала Наталья Касперская[8]. Эта компания была частью компенсации при разделе бизнеса с её прежним мужем Евгением Касперским, основным владельцем «Лаборатории Касперского»[9]. Поскольку технологические решения и продуктовая линейка InfoWatch были рассчитаны на крупные компании, а не на мелкий сегмент и розницу, это обстоятельство требовало особых подходов: серьёзной совместной работы с заказчиками перед установкой систем, иных каналов продаж, готовности к более длинным циклам этих продаж (от пяти до девяти месяцев[10]) с выраженным сезонным фактором (пик приходится на зимнее время[10]) и др. Кроме того, Наталья обнаружила в InfoWatch и внутренний кризис[7]:
Мне попался очень крепкий орешек. Я предполагала, что у меня есть продукт. Работающего продукта не оказалось. Я предполагала, что у меня есть команда. Команда разбежалась. Маркетологи ушли, часть разработчиков увёл бывший технический директор… И несколько лет я занималась тем, что пыталась сварить кашу из этого «топора».
Другие продукты этого производителя:
11 комментария на “ Обходим DLP систему или как обмануть безопасников, которые читают почту на работе ”
PS И да! Все, что ты написал — не работает.
You are here
» Полное руководство к системам InfoWatch Traffic Monitor и Device Monitor
Infowatch как удалить с компьютера
Войти
Авторизуясь в LiveJournal с помощью стороннего сервиса вы принимаете условия Пользовательского соглашения LiveJournal
Плата и расплата
Производитель массовой программы всегда стоит перед щекотливой проблемой: насколько сделать лёгким удаление своей программы. Юзер, как известно, существо ветреное и нелогичное. Сегодня инсталлировал, а завтра ему какая-то мелочь не понравилась или трава на другом берегу зеленее показалась – и всё, развод.
Поэтому, с одной стороны, сжигать мосты не хочется. Есть надежда, что неверный пользователь пощупает альтернативный софт, одумается и вернётся. Можно было бы сделать программу вообще без возможности деинсталляции. Дескать, Бог вас сочетал, не тебе, смертный, разрушать этот союз. Маркетологи говорят, что от 92 до 98% пользователей не будут удалять программу, если такой возможности разработчиком не предусмотрено. (Кстати, некоторые программы, считающиеся компонентом ОС, на самом деле вполне безболезненно удаляются, освобождая ресурсы. Но общественность об этом не знает.)
С другой стороны, невозможность штатной деинсталляции ПО возмутит народные массы. И приведёт к ущербу деловой репутации производителя. Ведь народ уже знает (и какой вредитель ему рассказал об этом!), что программу можно удалить. Поэтому разработчик должен приходить со своей верёвкой, то есть, иметь в комплекте деинсталлятор. И не слишком напряжный, иначе юзер тоже возмутится.
| Храм из комплекса Ангкор на территории Камбоджи. Вырубать деревья нельзя, а то постройки развалятся. |
Эдакий дуализм приводит к тому, что деинсталляторы получаются, мягко говоря не очень качественные и не самые оптимальные. Кое-кто даже выпускает специальный софт, подтирающий за другими программами. Конечно, оставлять на диске хвосты – это плохо с точки зрения утечек. Но главное в другом.
В вопросе деинсталляции мы имеем диалектическое противоречие между требованиями удобства, конфиденциальности, целостности, совместимости и интересами производителя, живущего по коммерческо-копирайтной модели. В случае применения иных финансовых (в т.ч. «бесплатных») схем производитель сам заинтересован в поставке качественного деинсталлятора и в обеспечении ему условий для работы. А то иной раз программа так установится, что выкорчевать её можно только с риском повредить другие.
Кстати, есть ещё один класс программ, которые можно рассматривать как не предназначенные для деинсталляции. Это хостовый компонент DLP-систем (у нас он называется «Device monitor»), обеспечивающий невмешательство пользователя в процесс контроля его рабочей станции.
Infowatch device monitor client как удалить
Первым делом Вам нужны админские права на машине. Они есть?
Если есть, то ProcessHacker в помощь.
Доброго времени суток!
Хочется поделиться своими наблюдениями — может кому и пригодится.
Все нижесказанное будет относится к Falcongaze SecureTower.
Несмотря на то, что клиент пытается любыми способами скрыть свое присутствие, все тайное, рано или поздно становится явным.
1. Подмена сертификата.
Отрываем в браузере любой ресурс, который использует https и смотрим данные сертификата. При установленном DLP-клиенте, в разделе «Certification Path» будет присутствовать сертификат, подписанный Falcongaze SecureTower.
При установке, клиент SecureTower добавляет свой сертификат в доверенное хранилище корневых сертификатов (Trusted Root Certification Authorities).
Вообще, при любых подозрениях, данное хранилище можно периодически просматривать — вдруг найдете что-то интересное.
2. Расположение файлов.
Если вы будете искать файлы и каталоги установки клиента визуально, или используя механизм поиска в проводнике (любом другом файловом менеджере) — скорее всего ничего так и не будет найдено.
Но выход есть, все оказывается куда проще — берем пути:
и по-очереди вставляем в адресную строку проводника — давим Enter.
Если клиент присутствует — в открытом окне вы будете лицезреть его файлы и следы жизнедеятельности.
Данный способ проверен на OS Windows 7 и выше.
3. Реестр.
При установке клиента Secure Tower, будет создан следующий раздел реестра:
[HKEY_LOCAL_MACHINESOFTWAREFalconGaze]
Внутри данного раздела, если таковой существует, будет несколько подразделов. Из них можно почерпнуть немного дополнительной информации: путь установки, текущая версия, адрес сервера и порт подключения.
4. Сеть.
По-умолчанию, для связи с сервером, Secure Tower использует порт 10500.
5. Процессы.
Как и в случае с каталогами и файлами, клиент умеет отлично маскировать свои процессы (если захочет) в Диспетчере задач Windows.
Вот список наиболее вероятных процессов:
Для того, что бы их «выщемить», нужно запустить старый добрый Process Monitor и открыть Process Tree — от него еще никто не уходил.
6. Skype
Как известно, многие DLP-системы умеют перехватывать сообщения (некоторые, особо продвинутые — даже записывать разговоры) Skype. Вы, наверное, хотите спросить: Как они это делают? Ведь протокол Skype надежно зашифрован, и никому (практически) не удалось приблизиться к его расшифровке.
На самом деле, до дешифровки данных, переданных по закрытым протоколам, дело как-раз и не доходит вовсе. Клиент Secure Tower извлекает данные непосредственно из самого Skype.
Способ номер два: Skype хранит историю переписки БД SQLite в лучших традициях жанра — в открытом виде.
Путь расположения файла БД:
Вот именно этот файл периодически и дергает DLP-клиент.
Ставим растяжку
Запустить Process Monitor и создать новый фильтр:
Нажать OK и ждать, пока сработает. В идеально чистой системе, кроме самого Skype, к данному файлу никто обращаться не должен. Если в системе завелась «живность» — ждать придется недолго.
Заключение
Всегда стоит учитывать тот факт, что разработчики не сидят сложа руки, DLP-системы постоянно совершенствуются (усложняются, порождается большее число новых багов) и методы, описанные выше, могут не сработать для новых версий.
Кроме этого, многое зависит от политик безопасности, согласно которым настроен клиент. Отдельные модули (перехват сообщений Skype, контроль https трафика и т.д.) могут быть отключены и соответственно, каждый отдельный пункт не может дать 100%-го результата.
Для обнаружения ПО такого рода всегда следует использовать комплексный подход, который включает проверку по всем пунктам. Кроме этого, используя некоторые из данных методов, существует вероятность отследить не только Secure Tower, но и его «конкурентов».
Самым популярным способом обмена корпоративной информацией на сегодняшний день остается электронная почта. Именно там работники отправляют скан-копии документов, проекты на согласования, приглашают на встречи, информируют о событиях и т.д. Иногда переписку по электронной почте приравнивают к официальной переписке между организациями на уровне писем от первых лиц. Поэтому этот канал передачи информации является объектом пристального внимания со стороны представителей отделов/служб ИБ (они следят за утечкой конфиденциальной информации) и экономического блока безопасности (они следят за перепиской, ищут откаты, сговоры, поиски новой работы, подделку документов и т.д.)
Немного о теории. Вы наверняка замечали что ваша почта не доходит сразу до контрагентов и/или же злые дяди из службы безобразности интересуются той или иной вашей отправкой спустя какое-то время, особенно если вы отправляете какие либо персональные данные без использования принятых мер защиты. Эти обстоятельства говорят о том, что в вашей организации установлена какая либо так называемая DLP-система. Не вдаваясь в технические подробности приведу информацию из вики :
Система предотвращение утечек (англ. Data Leak Prevention, DLP ) — технологии предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) для такого предотвращения утечек.DLP-системы строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в этом потоке конфиденциальной информации срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется или проходит но оставляет метку.
Давайте посмотрим как можно определить установлена ли одна из таких систем у Вас в организации. Для того чтобы узнать установлена ли у Вас в организации такая система слежения в первую очередь можно посмотреть заключенные договора на покупку или сопровождение таких систем. Среди них ищем самые популярные компании разработчики:
и менее популярные:
Если же и эти способы не помогают, то понять что за вами следят можно уточнив у получателя по телефону — долго ли к ним поступают письма (только в случае блокировки письма до отправки), а можно спросить у друзей-айтишников установлена ли система контроля почтовых сообщений в организации. Можно еще конечно попытаться найти запущенные процессы на вашем компьютере, т.к. агенты системы (компоненты системы) слежения устанавливаются персонально на все АРМ’ы работников, но дело в том, что эти процессы умело скрываются под стандартные процессы MS Windows и без должного уровня знаний определить процесс запущенный агентом будет довольно сложно.
Теперь давайте рассмотрим каким образом, мы сможем обойти эту систему. Помните, что реализация приемов из статьи зависит от конкретных настроек DLP и возможна к реализации только путем проб и ошибок. Так что на своей страх и риск.
Самое главное не пытайтесь обойти системы, попытавшись сделать шрифт документа белым или пытаясь скрыть листы и сроки в документах MS Exel, все это сразу увидят товарищи чекисты!
1. Отправка после окончания рабочего дня.
Самое простое и банальное, что может получится это просто отправить Ваше письмо на нужный адрес электронной почты после окончания рабочего дня. Данный метод успешен в случае, если система настроена на перехват почтовых сообщений, например, с 9-00 до 18-00 по рабочим дням и их блокировку в указанное время. Это связано с тем, что товарищи безопасники, которые смогут в случае чего разблокировать застрявшее письмо также как и Вы работают по трудовому договору те же часы, что и Вы, поэтому после окончания рабочего дня они отключают систему или она останавливается автоматически. Вы можете проверить актуальна ли эта настройка отправив пару безобидных сообщений после 18-00 и посмотреть дойдут ли сразу сообщения, которые например не доходили сразу втечении рабочего дня. Сразу скажу не самый лучший вариант, т.к. в независимости от результата отправки в системе останется след того, что Вы отправили, и в случае грамотного мониторинга системы безопасниками они увидят Вашу отправку.
2. Удаление слов маячков
3. Архив с паролем.
Данный метод заключается в шифровании документа в стандартном *.rar архиве и направлении на электронную почту. Сразу отмечу, что архив под паролем сразу вызывает подозрения и во многих системах блокируется, и даже расшифровывается. Чтобы максимально обезопасить себя необходимо:
а) При установке пароля на архив поставить галочку на значении «шифровать имена файлов». Это необходимо для того чтобы имена файлов в архиве были не видны до открытия архива паролем.
Таких виртуальных клавиатур полно в интернете. Стоит отметить что Вы можете как угодно экспериментировать — набирать неправильный пароль, стирать, перемещать символы, при этом в системе слежения будет отображаться полная каша.В поле отображать пароль при вводе галку лучше не ставить — так как в системе может быть установлен модуль фотографирования вашего монитора.
3. Кодируем онлайн
Для передачи документа проще всего использовать онлайн-сервисы обмена файлами, для примера мы рассмотрим www.rgho.st
Заливаем наш файл «База контрагентов.docx» туда и получаем ссылку:
Теперь нам необходимо зашифровать ссылку и передать ее письмом. Для примера шифрования используем онлайн-сервис http://crypt-online.ru/crypts/aes/ с симметричным антигоритом AES. В поле текста вставляем адрес нашей ссылки, выбираем размер ключа шифрования 128-256 бит. Вводим пароль, в данном случае «itsecforu.ru», нажимаем кодировать и получаем шифрованный текст:
Копируем полученный результат и отправляем в электронном сообщении, сообщив пароль и длину ключа по альтернативному каналу связи (телефону). Получатель проделывает обратное преобразование, вводит шифрованный текст и пароль и получает ссылку:
4. Cтеганография онлайн
Для того чтобы не отправлять подозрительный зашифрованный текст мы также можем использовать стеганографию онлайн. Подумайте какие документы Вы чаще всего отправляете контрагентам (акты сверок, счета и т.д.) и вставляйте в тело этих файлов код. Для примера мы будем использовать карточку предприятия и онлайн сервис http://stylesuxx.github.io/steganography/. Карточка предприятия в формате обычной картинки, где указаны реквизиты организации. Загружаем карточку (файл karto4ka.png), вставляем текст, который хотим зашифровать (все та же наша ссылка) и жмем «Encode»
Далее идем вниз страницы и сохраняем полученный файл, отправляем контрагенту электронным письмом.
Получатель проделывает обратное действие. Загружает файл «karto4ka2.png» и нажимает «Decode» и получает желанную ссылку.
Вдобавок можно использовать portable утилиты стеганографии, рассмотрим их в следующих статьях
Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.
11 комментария на “ Обходим DLP систему или как обмануть безопасников, которые читают почту на работе ”
PS И да! Все, что ты написал — не работает.
«Игорь, у него ДВА сердца. »
Анна Попова, руководитель Блока DLP ГК Инфосекьюрити, продолжает делиться своими впечатлениями от использования разных DLP-систем. В прошлой статье она рассказала о плюсах и минусах решения КИБ SearchInform. Сегодня, как и было обещано, поговорим про линейку продуктов InfoWatch. Только давайте сразу определимся, что на объективное сравнение мы не претендуем.
Вообще сложно понять, что такое объективное мнение о системе. Объективные характеристики – это соответствие DLP-системы техническим требованиям заказчика, требованиям ФСТЭК и т.п., а также соотнесение их с необходимыми мощностями. Все прочее – субъективно, ибо реальность такова, что функциональность, которая у одного клиента «взлетела», у другого упадет. И уж тем более не приходится говорить об объективном превосходстве одной системы над другой, если речь идет о её эксплуатации аналитиками. Кому-то нравится один интерфейс, кому-то другой, кому-то не нравится выгрузка событий, кому-то она не важна.
Про продукт DLP от компании InfoWatch сказано много; много копий сломано вокруг него. Мнения встречаются самые разнообразные – от самых полярных до нейтральных. С течением времени и компании, и продукту довелось пройти долгий и тернистый путь развития, отрастить не одну полезную функцию и даже попасть в «магический квадрант» Gartner. Так попробуем же разобраться, чего удалось достигнуть продукту, так ли он хорош (или плох), как о нём говорят.
Архитектура (who is who)
Прежде всего нужно понять, с чем мы работаем. Программный комплекс InfoWatch Traffic Monitor состоит из следующих компонентов:
InfoWatch Traffic Monitor – основной компонент, отвечающий за сетевой перехват и анализ перехваченных данных (собранных по сети и с агентов). Работает на RHEL/CentOS 6. Также отвечает за отрисовку веб-интерфейса, который является основной точкой входа для офицера ИБ при работе с системой.
InfoWatch Device Monitor – этот компонент отвечает за управление агентами (в том числе за агентские политики). Работает на Windows Server. Имеет отдельную консоль управления, которую можно инсталлировать на любую машину с Windows – главное, чтобы был открыт сетевой доступ до сервера Device Monitor.
InfoWatch Crawler – модуль, дающий возможность сканирования указанных пользовательских каталогов и сетевых директорий. Работает на Windows Server (может быть установлен на машину с сервером Device Monitor), но интерфейсно интегрируется в веб-консоль Traffic Monitor и управляется оттуда же.
InfoWatch Vision – опциональный компонент, позволяющий существенно упростить процесс расследования инцидентов ИБ за счёт визуализации. Представляет события из Traffic Monitor в виде автоматически перестраиваемых интерактивных графиков. Работает на Windows Server и базируется на платформе QlikSense.
InfoWatch Person Monitor – также опциональный модуль, предоставляющий функционал контроля рабочего времени. Работает на Win Server, берёт свои корни от легендарной, в некотором роде, системы «Стахановец».
Функционал блокировки
Так как система носит гордый статус DLP (что, напомним, означает Data Leakage Prevention – предотвращение утечки данных), в первую очередь рассмотрим «классический» функционал для таких систем – предотвращение. Что же может предложить нам рассматриваемый программный комплекс?
Даже в минимальной инсталляции (Traffic Monitor, Device Monitor) функционал достаточно богат: возможна блокировка почты, предотвращение записи на съёмные носители по результатам контентного анализа или по белым спискам носителей, запрет запуска приложений, запрет использования FTP. С подключением модуля Person Monitor функционал несколько расширяется: добавляется возможность очистки буфера обмена, запрет загрузки файлов в интернет.
Неподготовленному пользователю будет сперва непросто разобраться во всём многообразии различных консолей управления: так, одной из особенностей при работе с системой является необходимость «включения» некоторых каналов перехвата в Device Monitor.
В целом, функционал предотвращения не вызывает вопросов, здесь есть, где разгуляться; хотя самым требовательным клиентам, наверное, всё же придётся обратиться к более гибким конкурирующим продуктам. Что касается функционала учета рабочего времени, то в IWTM он реализован оригинальным, но достаточно удобным способом.
Функционал контроля рабочего времени
Рынок DLP, особенно в странах СНГ, сегодня не ограничивается исключительно функционалом предотвращения. Системы DLP мало-помалу вбирают в себя функционал другого класса продуктов – систем мониторинга рабочей деятельности сотрудников.
Рассматриваемый продукт не стал исключением и тоже вобрал кое-что. Насколько качественно?
Контролировать сотрудников можно при помощи модуля Person Monitor – начиная с кейлогера и заканчивая видео с рабочего стола, а также контролем веб-камеры и звука с микрофона. Однако не всё так радужно. Выше упомянуто, что данный модуль является интерпретацией нашумевшего «Стахановца». Отсюда и минусы – например, абсолютное отсутствие интеграции с остальными модулями комплекса и гарантированное покрытие «полным контролем» лишь пятидесяти машин. Особое умиление доставила защита БД – шифрование не нужно, данные в базе хранятся всего лишь в изменённой кодировке. «Чтобы никто не догадался. »
Кстати, касательно умилений: при первом открытии веб-интерфейса Person Monitor предупреждает, что соединение не зашифровано (обычный http, то бишь) и предлагает ссылку на мануал, по которому каждый может сам себе настроить https. Почему этого было не сделать «из коробки» – неясно.
Ещё есть очень интересная функция распознавания голоса в текст. Реализовано это через API Google, что для многих заказчиков будет проблемой: во-первых, требуется подключение сервера к интернету, а во-вторых, не каждый согласится передавать свою конфиденциальную информацию третьей стороне.
При проведении расследований по собранной Person Monitor’ом информации мы испытывали дискомфорт, потому что привыкли работать со всей доступной информацией со всех доступных каналов и по всем сотрудникам. К тому же местный поиск по насниффанным кейлогером данным обладает лишь самым базовым функционалом – например, есть морфология, но интересные и сложные правила текстового поиска построить не удастся. Тем не менее, на небольших объёмах трафика и в малых компаниях с этим всем вполне можно жить.
С технической точки зрения Person Monitor состоит из агента, собирающего данные с рабочей станции пользователя, сервера с БД (MSSQL), где эти данные потом хранятся, и Apache для Windows, отрисовывающего веб-интерфейс системы. По запросу пользователя составляется SQL-запрос, и его результат предстаёт перед юзером в виде html-страницы отчёта.
Говоря о малых и больших компаниях, плавно переходим к ещё одному модулю – Vision. Он был словно создан по нашему заказу – позволяет упорядочить перехваченные Traffic Monitor’ом данные для наглядного представления и помимо этого даёт возможность на лету перестраивать запросы. Всё это возможно не в последнюю очередь благодаря платформе QlikSense, оперирующей вытянутыми из Traffic Monitor событиями в оперативной памяти сервера Vision.
События нужно подгружать раз в определённый промежуток времени – например, каждую ночь, поскольку выгрузка больших объёмов данных занимает продолжительное время.
Общее впечатление
Рассматриваемая система, как и любая другая, не лишена недостатков. К сожалению, до сих пор остаются некоторые «детские болячки», тянущиеся с ранних версий (например, перечисленные проблемы Person Monitor’а); некоторые решения выглядят спорно – не всегда понятно, баг это или фича (разобщённость консолей и использование разных БД для хранения событий). Если вам необходим упор на какой-то конкретный функционал, а не комплексное решение, рекомендуется продолжить изучение рынка DLP.
Когда-то мы начали изучение рынка DLP именно с InfoWatch Traffic Monitor, поэтому минусы сразу бросились в глаза:
Однако, продолжив изучать рынок дальше, обнаружили множество плюсов (воистину, всё познаётся в сравнении):
При подготовке статьи мы опросили своих коллег – практикующих аналитиков, какое впечатление на них произвела система DLP от InfoWatch. Суммируя все сказанное, выделим несколько плюсов и минусов.
Из минусов – да, увы, это многоконсольность и не всегда логичное разделение функционала между ними. Это не только неудобно, но и совсем неэффективно, когда нужно собрать доказательную базу для расследования, а данные в разных базах, и привести их к одному виду средствами самой системы никак нельзя. Много лишней ручной работы аналитика или безопасника.
Нас порадовало стремление вендора реализовывать доработки для потенциальных клиентов, т.е. без наличия обязывающих договорных отношений. Это абсолютно реальный пример: через полгода после обсуждения кучи доработок, заявленных нами на пилоте в одном из клиентов, мы увидели их в реализованном функционале, что было крайне приятно.
Причем, IW один из немногих вендоров, который внимательно относится к обсуждению таких проблем, не отфутболивает по тегу – а зачем это нужно, вы первые, кто спрашивает об этом и т.п. (Саша Клевцов, передаем тебе отдельный привет и самые лучшие пожелания :)).
В сухом остатке имеем достаточно сбалансированную систему, закрывающую большинство требований самых занудных заказчиков и не обладающую завышенными системными требованиями. InfoWatch последовательно «прокачивает» свой комплекс, добавляя новые крутые функции. Остаётся только аккуратно сшить их между собой :).
Анна Попова, руководитель Блока DLP, ГК Инфосекьюрити
Никита Шевченко, руководитель группы инженерного сопровождения Блока DLP, ГК Инфосекьюрити
Как отключить infowatch на компьютере
Всем добрый день.
Недавно главный инфобезопасник конторы проболтался, что на офисные компьютеры некоторых избранных сотрудников нашей конторы (3 категории: особо отличившиеся, работающие с очень закрытой информацией и те, которых «готовят на выход») негласно устанавливается ПО infowatch, которое отслеживает всю их переписку, их походы в интернет, что они печатают и что они записывают на съемные носители. Слово «негласно» несколько напугало и в связи с подслушанным стало очень интересно, это ПО действительно может быть установлено так, что «жертва» ничего не заметит? Как можно обнаружить присутствие этого ПО на собственном ПК? Нужны ли админские права для выявления этих «троянцев»? Наконец, как можно их обезвредить, желательно так же негласно.
Нет, конечно всю «левую» (ту, которой у меня на компе не должно быть по моей работе, банальный пример — анкеты на визу) и закрытую (которую, по идее, я не должен забирать с работы но ведь иногда бывает необходимо что-то срочно сделать к следующему утру) информацию я пишу на носители, перезагрузившись с Hiren’s boot CD (да, эту лазейку пока не перекрыли), но не хочется из-за каждой мелочи перезагружать комп.
Что скажет уважаемое сообщество?
| От: | wildwind | |
| Дата: | 17.02.17 21:23 | |
| Оценка: | +2 | |
Здравствуйте, teapot2, Вы писали:
T>это ПО действительно может быть установлено так, что «жертва» ничего не заметит?
Иначе оно не стоило бы своих денег, не так ли?
T>Как можно обнаружить присутствие этого ПО на собственном ПК?
Если это не твой профиль, то скорее всего никак.
T>Нет, конечно всю «левую» (ту, которой у меня на компе не должно быть по моей работе, банальный пример — анкеты на визу) и закрытую (которую, по идее, я не должен забирать с работы но ведь иногда бывает необходимо что-то срочно сделать к следующему утру) информацию я пишу на носители, перезагрузившись с Hiren’s boot CD (да, эту лазейку пока не перекрыли), но не хочется из-за каждой мелочи перезагружать комп.
А почему лазейку не прикрыли, не задавался вопросом? Видимо, для того, чтобы отслеживать, кто ей пользуется. Вообще держать что-то левое на компе в конторе с такими порядками это главная ошибка. Наверное, ты уже либо в первой, либо в третьей категории.
Работал я в такой конторе. Очень неприятно. Свалил с радостью.
| От: | teapot2 |
| Дата: | 23.02.17 18:00 |
| Оценка: |
| От: | Michael7 |
| Дата: | 23.02.17 23:10 |
| Оценка: |
Здравствуйте, teapot2, Вы писали:
T>Я загрузил древнюю XP-шку с сидюка, сеть в этой конфигурации не настроена, никакие проги с жесткого диска не запускаются и драйверы не грузятся. Не могу себе представить, что в этих обстоятельствах кто-то может контролировать инфообен компа с его периферийными устройствами типа USB-портов. В «подземные стуки» я не верю.
Я не знаю как устроена эта софтина и что она может, но в принципе предположение, что никакие проги не запускаются до загрузки с CD-ROM неверное. Это возможно, BIOS вполне может что-то такое запускать. В UEFI это даже почти штатная возможность.
T> Собственно, почему и написал сюда.
Если качествено сделано хрен простыми способами обнаружишь. Но для начала можно взять прогу вроде Process Explorer и изучить весь список запущенных процессов (и автостартуемых) после старта системы. Кто что чего и откуда. Отдельно не грех проверить процесс svchost — настоящий ли он, кем запущен.
| От: | wildwind |
| Дата: | 24.02.17 12:42 |
| Оценка: |
Здравствуйте, teapot2, Вы писали:
T>Здравствуй, wildwind, спасибо за ответ, но хотелось бы понять, ты ответил со знанием дела (то бишь обсуждаемого продукта) или исходя из общих соображений, которые показались тебе разумными во время составления ответа?
Из общих соображений и личного опыта. С данным продуктом знаком только по описаниям.
T>каковы признаки присутствия этого софта? Он ставится как сервис или как-то еще? По какому протоколу он общается со своим шпионским центром?
Как правило, это драйвер или несколько, сервис и GUI процессы для информирования и управления. драйвера могут быть скрыты с использованием rootkit техник.
T>Я загрузил древнюю XP-шку с сидюка, сеть в этой конфигурации не настроена, никакие проги с жесткого диска не запускаются и драйверы не грузятся. Не могу себе представить, что в этих обстоятельствах кто-то может контролировать инфообен компа с его периферийными устройствами типа USB-портов. В «подземные стуки» я не верю.
| От: | Vasiliy2 |
| Дата: | 27.02.17 09:03 |
| Оценка: |
Здравствуйте, teapot2, Вы писали:
T>. отслеживает всю их переписку, их походы в интернет, что они печатают и что они записывают на съемные носители.
Конкретно с этой системой не знаком, но, зачастую, они, помимо прочего, делают снимки экрана и отсылают на базу. При недоступности сети они их складывают в укромное местечко, чтобы потом, при появлении возможности, скинуть их куда надо. Соответственно, отключив на некоторое время сеть (возможно на несколько дней), можно получить на диске скопление определенных файлов. Затем утилитой от sysinternals (не помню как она называется, возможно FileMonitor) можно пробежаться по диску и найти области файлов. Нужные будут лежать большой заметной однотипной кучкой, утилита покажет где они находятся. Глянув эти кучки можно определить точно там скриншоты или что-то безобидное. Точной информации метод может не дать, но как один из вариантов расследования может применяться.
| От: | ShaggyOwl | http://www.rsdn.org |
| Дата: | 07.03.17 19:35 | |
| Оценка: | +4 | |
Здравствуйте, teapot2, Вы писали:
T>Недавно главный инфобезопасник конторы проболтался, что на офисные компьютеры некоторых избранных сотрудников нашей конторы (3 категории: особо отличившиеся, работающие с очень закрытой информацией и те, которых «готовят на выход») негласно устанавливается ПО infowatch, которое отслеживает всю их переписку, их походы в интернет, что они печатают и что они записывают на съемные носители. Слово «негласно» несколько напугало и в связи с подслушанным стало очень интересно, это ПО действительно может быть установлено так, что «жертва» ничего не заметит? Как можно обнаружить присутствие этого ПО на собственном ПК? Нужны ли админские права для выявления этих «троянцев»? Наконец, как можно их обезвредить, желательно так же негласно.
T>Нет, конечно всю «левую» (ту, которой у меня на компе не должно быть по моей работе, банальный пример — анкеты на визу) и закрытую (которую, по идее, я не должен забирать с работы но ведь иногда бывает необходимо что-то срочно сделать к следующему утру) информацию я пишу на носители, перезагрузившись с Hiren’s boot CD (да, эту лазейку пока не перекрыли), но не хочется из-за каждой мелочи перезагружать комп.
T>Что скажет уважаемое сообщество?
* Весомая часть софта в корпоративной среде разворачивается прозрачно для пользователя, через групповые политики.
* Класс систем о которых ты говоришь называются DLP (data leak prevention). infowatch является производителем одной из (https://www.infowatch.ru/dlp).
* Великого смысла в проверке установлен ли у тебя агент dlp на компьютере не вижу. Если есть сомнения, считай, что установлен.
* Бороться и обходить их не надо, во избежание прямого конфликта с безопасниками. (Обоснование — взять документы домой, поработать, при разборе полётов будет выглядеть наивно.)
Upd. Необходимо понимать, что с точки зрения безопасника ситуации отключаются радикально:
* вынос документов
* вынос документов с предварительной попыткой отключения/обхода инструментов обеспечения безопасности
| От: | Somescout |
| Дата: | 10.03.17 19:44 |
| Оценка: |
Здравствуйте, Michael7, Вы писали:
M>Если качествено сделано хрен простыми способами обнаружишь. Но для начала можно взять прогу вроде Process Explorer и изучить весь список запущенных процессов (и автостартуемых) после старта системы.
Это если есть права админа. И если они есть, то у их безопасников реально странные представления о безопасности (хотя, конечно, возможность загрузки не с системного диска на «защищённом» ПК — это уже facepalm).
InfoWatch Traffic Monitor. По лезвию багов и фич
Анна Попова, руководитель Блока DLP ГК Инфосекьюрити, продолжает делиться своими впечатлениями от использования разных DLP-систем. В прошлой статье она рассказала о плюсах и минусах решения КИБ SearchInform. Сегодня, как и было обещано, поговорим про линейку продуктов InfoWatch. Только давайте сразу определимся, что на объективное сравнение мы не претендуем.
Вообще сложно понять, что такое объективное мнение о системе. Объективные характеристики – это соответствие DLP-системы техническим требованиям заказчика, требованиям ФСТЭК и т.п., а также соотнесение их с необходимыми мощностями. Все прочее – субъективно, ибо реальность такова, что функциональность, которая у одного клиента «взлетела», у другого упадет. И уж тем более не приходится говорить об объективном превосходстве одной системы над другой, если речь идет о её эксплуатации аналитиками. Кому-то нравится один интерфейс, кому-то другой, кому-то не нравится выгрузка событий, кому-то она не важна.
Про продукт DLP от компании InfoWatch сказано много; много копий сломано вокруг него. Мнения встречаются самые разнообразные – от самых полярных до нейтральных. С течением времени и компании, и продукту довелось пройти долгий и тернистый путь развития, отрастить не одну полезную функцию и даже попасть в «магический квадрант» Gartner. Так попробуем же разобраться, чего удалось достигнуть продукту, так ли он хорош (или плох), как о нём говорят.
Архитектура (who is who)
Прежде всего нужно понять, с чем мы работаем. Программный комплекс InfoWatch Traffic Monitor состоит из следующих компонентов:
InfoWatch Traffic Monitor – основной компонент, отвечающий за сетевой перехват и анализ перехваченных данных (собранных по сети и с агентов). Работает на RHEL/CentOS 6. Также отвечает за отрисовку веб-интерфейса, который является основной точкой входа для офицера ИБ при работе с системой.
InfoWatch Device Monitor – этот компонент отвечает за управление агентами (в том числе за агентские политики). Работает на Windows Server. Имеет отдельную консоль управления, которую можно инсталлировать на любую машину с Windows – главное, чтобы был открыт сетевой доступ до сервера Device Monitor.
InfoWatch Crawler – модуль, дающий возможность сканирования указанных пользовательских каталогов и сетевых директорий. Работает на Windows Server (может быть установлен на машину с сервером Device Monitor), но интерфейсно интегрируется в веб-консоль Traffic Monitor и управляется оттуда же.
InfoWatch Vision – опциональный компонент, позволяющий существенно упростить процесс расследования инцидентов ИБ за счёт визуализации. Представляет события из Traffic Monitor в виде автоматически перестраиваемых интерактивных графиков. Работает на Windows Server и базируется на платформе QlikSense.
InfoWatch Person Monitor – также опциональный модуль, предоставляющий функционал контроля рабочего времени. Работает на Win Server, берёт свои корни от легендарной, в некотором роде, системы «Стахановец».
Функционал блокировки
Так как система носит гордый статус DLP (что, напомним, означает Data Leakage Prevention – предотвращение утечки данных), в первую очередь рассмотрим «классический» функционал для таких систем – предотвращение. Что же может предложить нам рассматриваемый программный комплекс?
Даже в минимальной инсталляции (Traffic Monitor, Device Monitor) функционал достаточно богат: возможна блокировка почты, предотвращение записи на съёмные носители по результатам контентного анализа или по белым спискам носителей, запрет запуска приложений, запрет использования FTP. С подключением модуля Person Monitor функционал несколько расширяется: добавляется возможность очистки буфера обмена, запрет загрузки файлов в интернет.
Неподготовленному пользователю будет сперва непросто разобраться во всём многообразии различных консолей управления: так, одной из особенностей при работе с системой является необходимость «включения» некоторых каналов перехвата в Device Monitor.
В целом, функционал предотвращения не вызывает вопросов, здесь есть, где разгуляться; хотя самым требовательным клиентам, наверное, всё же придётся обратиться к более гибким конкурирующим продуктам. Что касается функционала учета рабочего времени, то в IWTM он реализован оригинальным, но достаточно удобным способом.
Функционал контроля рабочего времени
Рынок DLP, особенно в странах СНГ, сегодня не ограничивается исключительно функционалом предотвращения. Системы DLP мало-помалу вбирают в себя функционал другого класса продуктов – систем мониторинга рабочей деятельности сотрудников.
Рассматриваемый продукт не стал исключением и тоже вобрал кое-что. Насколько качественно?
Контролировать сотрудников можно при помощи модуля Person Monitor – начиная с кейлогера и заканчивая видео с рабочего стола, а также контролем веб-камеры и звука с микрофона. Однако не всё так радужно. Выше упомянуто, что данный модуль является интерпретацией нашумевшего «Стахановца». Отсюда и минусы – например, абсолютное отсутствие интеграции с остальными модулями комплекса и гарантированное покрытие «полным контролем» лишь пятидесяти машин. Особое умиление доставила защита БД – шифрование не нужно, данные в базе хранятся всего лишь в изменённой кодировке. «Чтобы никто не догадался. »
Кстати, касательно умилений: при первом открытии веб-интерфейса Person Monitor предупреждает, что соединение не зашифровано (обычный http, то бишь) и предлагает ссылку на мануал, по которому каждый может сам себе настроить https. Почему этого было не сделать «из коробки» – неясно.
Ещё есть очень интересная функция распознавания голоса в текст. Реализовано это через API Google, что для многих заказчиков будет проблемой: во-первых, требуется подключение сервера к интернету, а во-вторых, не каждый согласится передавать свою конфиденциальную информацию третьей стороне.
При проведении расследований по собранной Person Monitor’ом информации мы испытывали дискомфорт, потому что привыкли работать со всей доступной информацией со всех доступных каналов и по всем сотрудникам. К тому же местный поиск по насниффанным кейлогером данным обладает лишь самым базовым функционалом – например, есть морфология, но интересные и сложные правила текстового поиска построить не удастся. Тем не менее, на небольших объёмах трафика и в малых компаниях с этим всем вполне можно жить.
С технической точки зрения Person Monitor состоит из агента, собирающего данные с рабочей станции пользователя, сервера с БД (MSSQL), где эти данные потом хранятся, и Apache для Windows, отрисовывающего веб-интерфейс системы. По запросу пользователя составляется SQL-запрос, и его результат предстаёт перед юзером в виде html-страницы отчёта.
Говоря о малых и больших компаниях, плавно переходим к ещё одному модулю – Vision. Он был словно создан по нашему заказу – позволяет упорядочить перехваченные Traffic Monitor’ом данные для наглядного представления и помимо этого даёт возможность на лету перестраивать запросы. Всё это возможно не в последнюю очередь благодаря платформе QlikSense, оперирующей вытянутыми из Traffic Monitor событиями в оперативной памяти сервера Vision.
События нужно подгружать раз в определённый промежуток времени – например, каждую ночь, поскольку выгрузка больших объёмов данных занимает продолжительное время.
Общее впечатление
Рассматриваемая система, как и любая другая, не лишена недостатков. К сожалению, до сих пор остаются некоторые «детские болячки», тянущиеся с ранних версий (например, перечисленные проблемы Person Monitor’а); некоторые решения выглядят спорно – не всегда понятно, баг это или фича (разобщённость консолей и использование разных БД для хранения событий). Если вам необходим упор на какой-то конкретный функционал, а не комплексное решение, рекомендуется продолжить изучение рынка DLP.
Когда-то мы начали изучение рынка DLP именно с InfoWatch Traffic Monitor, поэтому минусы сразу бросились в глаза:
- даже при минимальной инсталляции требуется два сервера — Traffic Monitor, Device Monitor — на системах разных семейств;
- при максимальной инсталляции требуется установка двух агентов на рабочую станцию сотрудника;
- пользователь системы вынужден применять в работе не одну консоль, а от двух до пяти (Traffic Monitor, Device Monitor, Person Monitor, консоль настроек Person Monitor, Vision);
- при всём вышеизложенном интеграции Person Monitor с остальным комплексом просто нет – ощущение, что работаешь в отдельной системе.
- стабильность работы;
- простота и быстрота раскатки. В наличии имеется kickstart-образ Traffic Monitor’а, а Windows компоненты устанавливаются по паттерну «Далее – Далее – Готово»;
- гибкость системы. Освоившись с интерфейсом всех консолей, можно накручивать достаточно сложные правила срабатывания, которые будут применены сразу же при поступлении трафика;
- скорость проведения расследования. Несмотря на то, что Vision ещё молод и не оброс достаточным для нас количеством функций, его скорость и наглядность это компенсируют. При работе с прошлыми крупными заказчиками он бы нам очень пригодился в составе боевой системы.
- несвязность консолей;
- нефункциональное разграничение доступа (вроде есть, но не всегда можно настроить, как хочется — например, дашборд);
- один из модулей вообще собирает информацию, которую ядро анализировать не может;
- используется аж два агента, некоторые функции включены в оба;
- данные нужно перегонять между базами;
- в один сервер полный функционал поместить невозможно даже в самом минимальном внедрении;
- логика работы PM (оперирование не событиями, а отчетами) не позволяет комфортно использовать его для всей зоны покрытия, а исключительно «точечно».
- готовность реализовывать функционал, если нужно;
- простота в установке (кикстарт);
- масштабируемость;
- много видит, много понимает – большой выбор каналов, работа с мобильным трафиком, большой выбор методов детектирования конфиденциальных данных;
- относительно быстрый поиск и удобный предпросмотрщик с подсветом различных объектов разными цветами;
- подробное описание технологий и объектов защиты;
- автоматическое определение критичности, разгрузка офицера и т.п.;
- много внимания уделяется визуализации собранной информации. Одно из лучших решений на рынке.
Нас порадовало стремление вендора реализовывать доработки для потенциальных клиентов, т.е. без наличия обязывающих договорных отношений. Это абсолютно реальный пример: через полгода после обсуждения кучи доработок, заявленных нами на пилоте в одном из клиентов, мы увидели их в реализованном функционале, что было крайне приятно.
Причем, IW один из немногих вендоров, который внимательно относится к обсуждению таких проблем, не отфутболивает по тегу – а зачем это нужно, вы первые, кто спрашивает об этом и т.п. (Саша Клевцов, передаем тебе отдельный привет и самые лучшие пожелания :)).
В сухом остатке имеем достаточно сбалансированную систему, закрывающую большинство требований самых занудных заказчиков и не обладающую завышенными системными требованиями. InfoWatch последовательно «прокачивает» свой комплекс, добавляя новые крутые функции. Остаётся только аккуратно сшить их между собой :).
Анна Попова, руководитель Блока DLP, ГК Инфосекьюрити
Никита Шевченко, руководитель группы инженерного сопровождения Блока DLP, ГК Инфосекьюрити
Обзор InfoWatch Traffic Monitor Enterprise 5.1. Часть 2 — контроль на уровне рабочих станций
Продолжаем рассказ о новой версии InfoWatch Traffic Monitor Enterprise 5.1, флагманского продукта лидирующей на отечественном рынке российской компании InfoWatch. Во второй части обзора мы расскажем о компоненте InfoWatch Device Monitor, предназначенном для контроля конечных точек сети предприятия.
Сертификат AM Test Lab
Номер сертификата: 137
Дата выдачи: 17.09.2014
Срок действия: 17.09.2019
Введение
Современная DLP-система обязана контролировать практически все возможные каналы возможных утечек конфиденциальных данных. Хорошей практикой стал подход создания многокомпонентных DLP-систем, где защита различных каналов утечек конфиденциальной информации обеспечивается взаимосвязанными модулями. Это обеспечивает гибкость в развёртывании и управлении самой системой, полноту контроля и защиты данных и единое пространство политик безопасности для всех модулей. InfoWatch Traffic Monitor Enterprise полностью соответствует данной схеме работы.
В первой части обзора мы рассказывали о компоненте InfoWatch Traffic Monitor, предназначенного для контроля сетевого трафика на уровне шлюза. Во второй части мы расскажем о другом компоненте — InfoWatch Device Monitor, который предназначен для контроля над использованием внешних устройств на рабочих станциях, а также контроля отдельных сетевых протоколов и активностей, которые невозможно отслеживать на уровне шлюза.
Функциональные возможности InfoWatch Device Monitor 5.1
InfoWatch Device Monitor 5.1 предназначен, в первую очередь, для предотвращения утечки конфиденциальной информации через съёмные устройства, порты, локальную или сетевую печать. Поддержка большого количества различных видов устройств позволяет обеспечить широкие возможности контроля рабочих станций. Также InfoWatch Device Monitor 5.1 способен создавать теневые копии потоков информации для их сохранения и последующего анализа.
Кроме того, InfoWatch Device Monitor 5.1 позволяет осуществлять контроль трафика по протоколам POP3, SMTP, IMAP, MAPI, S/MIME, FTP и HTTPS на уровне рабочих станций. Также он может осуществлять контроль систем передачи мгновенных сообщений Skype, Jabber (прокол XMPP) и Mail.ru агент (протокол ММР). Для Skype возможна запись голосовых сеансов связи для дальнейшей расшифровки и перевода в текст.
Важной особенностью клиентской части InfoWatch Device Monitor 5.1 является то, что агенты могут работать даже в том случае, когда операционная система загружена в безопасном режиме. Но при этом функциональность агентов будет частично ограничена (например, будет невозможен контроль устройств, доступ к которым в безопасном режиме запрещён операционной системой).
Отменить загрузку агента в безопасном или даже отладочном режиме невозможно, так как драйвер агента подписан Microsoft и является компонентом обязательным к загрузке.
Процесс агента невозможно выгрузить из памяти равно как и изменить ключи реестра связанные с ним, поскольку защита обеспечивается уровне драйвера.
На рисунке 1 показана схема принципа работы InfoWatch Device Monitor 5.1.
Рисунок 1. Схема принципа работы InfoWatch Device Monitor 5.1
С общей схемой работы InfoWatch Traffic Monitor Enterprise можно ознакомиться в первой части обзора.
Системные требования InfoWatch Device Monitor 5.1
Аппаратные требования всех частей InfoWatch Device Monitor 5.1 соответствуют минимальным системным требованиям, предъявляемым к используемой операционной системе, на которой они работают.
В таблице 1 показаны аппаратные и программные требования InfoWatch Device Monitor 5.1.
Таблица 1. Аппаратные и программные требования InfoWatch Device Monitor 5.1
| Компонент | Аппаратная часть | ОС | Другое ПО |
| Сервер InfoWatch Device Monitor 5.1 | CPU: Intel Xeon x86 3GHzRAM 4 GBHD 300GB | Windows Server 2003-2012 (x86, x64) | БД Oracle 11БД Microsoft SQL Server 2005, 2008, 2012 (все редакции)Microsoft .NET Framework 4.0 |
| Клиент InfoWatch Device Monitor 5.1 | CPU: Intel Pentium 4 2GHz или вышеRAM 512 MB | Microsoft Windows 2000 SP4 (ограниченная поддержка), XP — Windows 8.1 (x86, x64) | |
| Консоль управления InfoWatch Device Monitor 5.1 | Все вышеперечисленные ОС |
Установка InfoWatch Device Monitor 5.1
Установка серверной части InfoWatch Device Monitor 5.1
В обзоре InfoWatch Device Monitor 4.0 мы уже рассматривали процесс установки этого модуля. В версии 5.1 кардинальных изменений процесса установки не произошло. Однако есть только два отличия:
- Появилась возможность автоматической публикации сервера InfoWatch Device Monitor в Active Directory (весьма полезная возможность, особенно в сложных инфраструктурах);
- Более недоступна возможность использования встроенной БД и PostgreSQL.
В остальном, всё проходит аналогично. Тем не менее, для цельности изложения, пошагово, опишем процесс установки InfoWatch Device Monitor 5.1.
После запуска пакета установки и принятия лицензионного соглашения, необходимо указать какой вариант установки будет осуществляться: будет ли этот сервер InfoWatch Device Monitor 5.1 основным или вспомогательным. Данная возможность обусловлена, что в InfoWatch Device Monitor 5.1 предусмотрена возможность балансировки нагрузки между серверами.
Рисунок 2. Выбор варианта установки InfoWatch Device Monitor 5.1
Если на предприятии используется служба Microsoft Active Directory, следует указать, что сервер нужно опубликовать в Active Directory.
В том случае, если уже есть отдельный сервер БД, который используется в работе InfoWatch Traffic Monitor Enterprise, можно снять флажок «Установить новую базу данных». В противном случае оставляем вариант по умолчанию. Далее необходимо
выбрать тип базы данных. Поддерживаются базы данных Oracle или Microsoft SQL, см. рисунок 3.
Рисунок 3. Выбор базы данных InfoWatch Device Monitor 5.1
В нашем случае выбираем Microsoft SQL Server и переходим к настройке параметров соединения с сервером базой данных, как это показано на рисунке 4.
Рисунок 4. Настройка параметров соединения с сервером БД для InfoWatch Device Monitor 5.1
В соответствующих полях указываем адрес или имя сервера БД, имя базы данных.
С точки зрения безопасности лучше использовать аутентификацию Windows для авторизации с БД. Но можно использовать и встроенную в SQL Server.
Поскольку мы проводим тестовую установку, выбираем более простой вариант — встроенную аутентификацию. Далее проводится автоматическая проверка связи с сервером БД. Если всё введено корректно, то система перейдёт к следующему этапу установки. В противном случае будет показано отдельное окно с сообщением о том, что соединиться с сервером БД не удалось.
На следующем этапе необходимо настроить сетевые параметров сервера InfoWatch Device Monitor, они показаны на рисунке 5.
Рисунок 5. Настройка сетевых параметров сервера InfoWatch Device Monitor 5.1
Порты подключения, которые предлагаются по умолчанию, можно не изменять.
Далее необходимо будет указать от имени какой учётной записи будут запускать службы серверной части InfoWatch Device Monitor.
Рисунок 6. Выбор учётной записи для запуска InfoWatch Device Monitor 5.1
Можно оставить вариант по умолчанию — Local System. Если же этот вариант не подходит с точки зрения политики безопасности, принятой в инфраструктуре, можно указать другую учётную запись пользователя.
Для управления сервером InfoWatch Device Monitor необходимо создать учётную запись администратор сервера InfoWatch Device Monitor и установить сложный пароль.
Рисунок 7. Создание учётной записи администратора InfoWatch Device Monitor 5.1
Поскольку схема развёртывания InfoWatch Device Monitor подразумевает использование сервера InfoWatch Trafic Monitor для анализа данных, собранных сервером InfoWatch Device Monitor, необходимо указать параметры соединения с сервером InfoWatch Traffic Monitor.
Рисунок 8. Настройка параметров соединения с сервером InfoWatch Traffic Monitor 5.1
Также можно дополнительно указать, что данный сервер InfoWatch Device Monitor будет работать в автономном режиме. Тогда становится активной опция «Сохранять теневые копии», что позволит хранить теневые копии перехваченных данных конкретно на этом сервере.
После этого установка продолжится в автоматическом режиме и не будет требовать вмешательства пользователя. По окончанию установки сервер InfoWatch Device Monitor готов к работе.
Теперь кратко расскажем об установке клиентской части InfoWatch Device Monitor.
Установка клиентской части InfoWatch Device Monitor 5.1
Установка агентов на конечные точки сети происходит очень просто. Единственное, что нужно будет указать в процессе установки — это параметры соединения клиента с сервером InfoWatch Device Monitor, как это показано на рисунке 9.
Рисунок 9. Настройка параметров соединения клиента с сервером InfoWatch Device Monitor 5.1
Клиентская часть InfoWatch Device Monitor может быть установлена как в ручном режиме, так и с помощью средств удалённой установки приложений на рабочих станциях, например, с помощью GPO в среде Microsoft Active Directory или же собственными средствами.
По окончанию установки — рабочую станцию необходимо перезагрузить, после чего клиент полностью готов к работе. В большинстве случаев подобное программное обеспечение желательно устанавливать скрытно, без каких-либо уведомлений для пользователя, так называемая «тихая установка» (silent install).Клиентская часть InfoWatch Device Monitor поддерживает такой вариант установки.
Рисунок 10. Окно управлениями задачами удалённой работы с агентами InfoWatch Device Monitor 5.1
Установка Консоли управления InfoWatch Device Monitor 5.1
Консоль управления включена в состав пакета установки серверной части InfoWatch Device Monitor и может быть установлена как на сервер с InfoWatch Device Monitor, так и на любую другую рабочую станцию. Для этого достаточно запустить пакет установки InfoWatch Device Monitor и в окне выбора компонентов (см. рисунок 11), отключить установку сервера, оставив только консоль.
Рисунок 11. Окно выбора компонентов InfoWatch Device Monitor 5.1
На этом мы закончим рассмотрение процесса установки InfoWatch Device Monitor и перейдём к описанию порядка работы с InfoWatch Device Monitor 5.1.
Работа с InfoWatch Device Monitor 5.1
Работа с InfoWatch Device Monitor осуществляется с помощью консоли управления.
В отличие от общей веб-консоли InfoWatch Traffic Monitor, консоль управления InfoWatch Device Monitor – это отдельно устанавливаемое программное обеспечение. Эти две консоли никак не связаны между собой и не могут использоваться для управления «не родными» компонентами.
Консоль InfoWatch Device Monitor используется в первую очередь для конфигурирования перехватчиков на рабочих станциях. Политики безопасности контроля типов данных и методы анализа задаются с помощью консоли InfoWatch Traffic Monitor.
При первом запуске консоли управления необходимо указать адрес сервера и учётные данные администратора сервера InfoWatch Device Monitor, как это показано на рисунке 12.
Рисунок 12. Окно выбора сервера для подключения к InfoWatch Device Monitor 5.1
После удачной авторизации, откроется главное окно консоли управления InfoWatch Device Monitor, которое показано на рисунке 13.
Рисунок 13. Главное окно консоли управления InfoWatch Device Monitor 5.1
Как видим, консоль управления достаточно хорошо продумана и имеет интуитивно понятный интерфейс. Все разделы консоли однородны и управляются по единому принципу.
Первоначальная настройка сервера InfoWatch Device Monitor
Первым шагом, который нужно сделать в начале работы с InfoWatch Device Monitor — это добавить учётные записи пользователей, которые смогут работать с сервером InfoWatch Device Monitor с помощью консоли управления и назначить им соответствующие роли для распределения прав доступа.
Дело в том, что та учётная запись администратора, которую мы создавали в процессе установки InfoWatch Device Monitor — это учётная запись суперпользователя, который обладает полным набором прав. Данная учётная запись не рекомендуется для использования рядовыми сотрудниками отдела информационной безопасности, так как она имеет избыточные права.
Как и в InfoWatch Traffic Monitor, , в InfoWatch Device Monitor аналогичная схема разделения прав доступа в консоли управления. Создаются пользователи, пользователям назначаются роли (наборы прав). Но есть и отличия в InfoWatch Device Monitor,— роли редактировать нельзя.
Есть две предустановленные роли: «Офицер безопасности» и «Локальный администратор».
Роль «Локальный администратор» используется для управления учётными записями консоли управления, а роль «Офицер безопасности» используется для управления сервером InfoWatch Device Monitor.
Для того, чтобы создать новую учётную запись пользователя консоли управления, идём в меню «Инструменты» и выбираем «Пользователи консоли».
Рисунок 14. Создание новой учётной записи пользователя консоли управления InfoWatch Device Monitor 5.1
Следующий шаг — проверка и корректировка настроек сервера, доступ к которым есть в меню «Инструменты» — «Настройки».
Кратко пройдёмся по настройкам.
Сперва посмотрим общие настройки сервера InfoWatch Device Monitor, а именно: параметры соединения с клиентами, контроля дискового пространства на клиентах, логирования и уведомлений (см. рисунок 15).
Рисунок 15. Общие настройки сервера InfoWatch Device Monitor 5.1
Для контроля трафика на уровне рабочих станций, необходимо указать сегменты корпоративной сети.
Также нужно указать существующие в инфраструктуре домены и заполнить список разрешённых серверов, где следует перечислить все сервера с InfoWatch Device Monitor.
Это можно сделать в меню «Корпоративная сеть» (рисунок 16).
Рисунок 16. Настройка параметров корпоративной сети в InfoWatch Device Monitor 5.1
Кроме этого, в меню «Настройки» содержится много других опций, которые отвечают за работу всей системы. Например, настройки контроля программ обмена мгновенными сообщениями: как часто делать копии чата; разрешение на работу Skype и т.д. А также указать исключения, для которых исходящий трафик не должен контролироваться. Разрешение внешних адресов может понадобиться, например, для обеспечения работы с внешними ресурсами и обновления установленных программ.
Для зарегистрированных серверов InfoWatch Device Monitor можно изменять параметры соединения с общим сервером InfoWatch Trafic Monitor, на который могут пересылаться события для анализа.
Есть возможность настройки интеграции с LDAP-серверами, которая позволяет синхронизировать списки учётных записей сотрудников и рабочих станций, что упрощает эксплуатацию InfoWatch Device Monitor для сотрудников службы безопасности.
В зависимости от нужд компании и предпочтений службы безопасности, можно настраивать тип и текст уведомлений агента, которые может получать пользователь на рабочей станции.
Последнее, на что стоит обратить внимание в настройках, — это возможность исключения приложений из перехвата (см. рисунок 17). Исключения необходимы как для обеспечения корректной работы операционной системы, отдельных приложения, а также целых категорий приложений (к примеру, средства защиты). В системе уже есть предустановленный список исключений, который можно дополнять и редактировать.
Рисунок 17. Список исключённых из перехвата приложений в InfoWatch Device Monitor 5.1
Настройка политик контроля рабочих станций в InfoWatch Device Monitor 5.1
После того как первоначальная настройка сервера выполнена, можно переходить к следующему этапу — настройке системы для контроля рабочих станций.
Анализ данных осуществляется на основе политик. Политики — это наборы правил, которые указывают какие данные, с каких устройств и по каким каналам связи необходимо контролировать. Политики назначаются группам сотрудников и группам рабочих станций.
Политики, группы станций и сотрудников, белые списки устройств и сигнатуры форматов файлов в совокупности называются «Схемой безопасности».
В процессе работы схема безопасности может неоднократно редактироваться, при этом последняя сохранённая версия считается текущей. Старые варианты схем безопасности не удаляются, а хранятся в базе данных. Всегда можно вернуться к прежней схеме или же посмотреть когда и кем она редактировалась.
Перейдём непосредственно к работе с политиками.
Средство управления конфигурациями позволяет как редактировать существующие политики, так и создавать новые.
Для дальнейшей демонстрации работы системы, изменим ряд готовых правил.
На рисунке 18 показан общий принцип редактирования правил. В качестве примера мы запретим использование протокола FTP.
Рисунок 18. Редактирование правила контроля FTP InfoWatch Device Monitor 5.1
Как видим, правилам можно задавать даже период действия или размер файла, который может быть перехвачен.
В политику контроля на устройства добавим правило запрета локальной печати.
Для этого выберем эту политику и нажмём кнопку «Добавить правило».
В открывшемся окне обязательно укажем имя правила, в качестве перехватчика выбираем «Device Monitor», а в списке устройств — «Локальный принтер».
Рисунок 19. Создание правила запрета локальной печати в InfoWatch Device Monitor 5.1
Нажимаем кнопку «Сохранить» и сохраняем новую версию схемы безопасности.
Можем считать, что тестовая политика безопасности у нас создана.
Теперь переходим к следующему разделу консоли управления — «Группы сотрудников».
Как мы уже говорили, нельзя применить политику безопасности к отдельно взятому сотруднику. Политика безопасности применяется только к группам сотрудников. Поэтому, даже если есть необходимость применить политику к отдельному сотруднику, нужно создать новую группу и поместить туда учётную запись соответствующего сотрудника.
Также стоит учитывать, что на сотрудников влияют и политики для рабочих станций. Поэтому, в случае применения нескольких правил, приоритет отдаётся более строгому правилу, т.е. запрещающее правило имеет более высокий приоритет перед разрешающим.
Чтобы сотрудникам службы безопасности было легче отслеживать применение политик к группам сотрудников и рабочих станций, в InfoWatch Device Monitor существует возможность просмотра результирующей политики.
После установки сервера InfoWatch Device Monitor автоматически создаётся группа сотрудников по умолчанию, куда помещаются все сотрудники, список которых получен с рабочих станций и серверов каталогов инфраструктуры.
Создадим отдельную группу TEST, куда поместим учётные записи пользователей нашего домена и применим к этой группе политику теневого копирования.
Как видно на рисунке 20, это достаточно просто сделать.
Рисунок 20. Создание новой группы сотрудников в InfoWatch Device Monitor 5.1
Аналогично ведётся работа и с группами рабочих станций.
В качестве примера мы создали группу рабочих станций TEST и поместили туда две рабочие станции. К этой группе мы применили политику на устройства (см. рисунок 21).
Рисунок 21. Создание группы рабочих станций в InfoWatch Device Monitor 5.1
Поскольку в компаниях всегда используется очень большое количество устройств, то нет необходимости контролировать или запрещать их все. Тому может быть много причин. Чтобы исключить эти устройства из проверки и контроля, предусмотрена возможность создания белых списков. Устройства, которые помещены в этот список будет всегда безусловно разрешены для использования.
Добавлять устройства в белый список можно как по модели, так и по идентификатору устройства.
Для контроля файловых операций в InfoWatch Device Monitor используются сигнатуры. Они представляют собой готовые описания структуры форматов файлов.
Список сигнатур очень обширен и содержит несколько тысяч записей, разбитых на определённые категории (CAD-системы, аудио, архивы и прочее).
Рисунок 22. Предустановленные категории сигнатур в InfoWatch Device Monitor 5.1
Также можно создавать свои категории и добавлять в них сигнатуры из списка имеющихся.
Для сотрудников отдела информационной безопасности всегда важно знать кто и когда работал в системе. Для предоставления актуальной информации касательно работы с системой предназначен журнал событий консоли управления. В нём можно посмотреть все события, которые связаны с работой в консоли управления (см. рисунок 23).
Также можно создавать свои журналы для автоматической фильтрации событий, чтобы всегда можно было получать актуальную оперативную информацию.
Рисунок 23. Журнал работы консоли управления InfoWatch Device Monitor 5.1
Любая DLP-система обязана предоставлять сотрудникам службы безопасности полные и детализированные отчёты о зарегистрированных инцидентах. InfoWatch Device Monitor этому не исключение. Все события, которые произошли на рабочих станциях и были зафиксированы агентами можно просмотреть в журнале событий сервера.
Можно просмотреть все события, а можно создать свой фильтр, с выборкой по определённому периоду. По каждому событию можно получить самую детальную информацию. На рисунке 24 показаны все события, которые были зафиксированы, а также результаты применения настроенных ранее политик.
Рисунок 24. Списоксобытий InfoWatch Device Monitor 5.1
Как видим, система работает корректно. Локальная печать была заблокирована, попытка записи файла на съёмное устройство была зафиксирована, файл передан на анализ на сервер InfoWatch Traffic Monitor, тоже самое и касается данных, которые были перехвачены по протоколу HTTPS.
На этом мы заканчиваем обзор InfoWatch Device Monitor 5.1 и переходим к выводам.
Выводы
Как видим, InfoWatch Traffic Monitor Enterprise 5.1 обеспечивает надёжную защиту рабочих станций от утечек информации через внешние устройства благодаря компоненту InfoWatch Device Monitor. Простая и понятная логика работы этой системы позволяет в краткие сроки развернуть её в инфраструктуре и обучить персонал.
Достоинства:
- Возможность контроля сетевого трафика на рабочих станциях по протоколам POP3, SMTP, IMAP, MAPI, S/MIME, FTP, HTTPS на уровне рабочих станций;
- Возможность контроля систем обмена мгновенными сообщениями такими как GTalk, Skype, Mail.Ru Агент, Jabber на уровне рабочих станций;
- Большой список поддерживаемых устройств;
- Большой список сигнатур файлов для анализа;
- Контроль принадлежности рабочей станции к корпоративной сети (при смене сети на рабочей станции сужается круг разрешённых сетевых соединений, в данном случае предусмотрена возможность принудительного использования VPN);
- Теневое копирование данных с устройств даже при отсутствии соединения с корпоративной сетью;
- Высокий уровень защиты агента от постороннего вмешательства в его работу или принудительного завершения его работы;
- Возможность предоставления сотрудником службы безопасности временного доступа к какому-либо устройству на рабочей станции по коду доступа, который можно сообщить работнику, к примеру, в телефонном режиме;
- Простота в установке и настройке;
- Удобная интуитивно понятная консоль управления;
- Детальная информация по инцидентам.
Недостатки:
- На наш взгляд стоит придерживаться единой политики относительно консоли управления. Если InfoWatch Traffic Monitor снабжён новой веб-консолью, то этого же стоит ожидать и для других компонентов системы. Несколько видов консолей создают неудобство в использовании;
- Для списка событий крайне желательно наличие фильтрации не только по временному периоду, а и по другим атрибутам событий;
- Отсутствие возможности контроля буфера обмена (в т. ч. Print Screen);
- Отсутствие средств анализа статистики инцидентов и построения отчетов в консоли управления InfoWatch Device Monitor.
- Отсутствие контроля запуска приложений (планируется в 2014 году).
В первой части обзора мы рассмотрели нововведения и общие функциональные возможности InfoWatch Traffic Monitor Enterprise 5.1. А также узнали как выполнять установку, первоначальную настройку и основные принципы работы с шлюзовой частью этого продукта.