Обзор открытой системы контроля за данными MyDLP

в 17:14, , рубрики: dlp, информационная безопасность, метки:

Маленькое лирическое вступление.

По моему скромному опыту. Люди занимающиеся в ИТ безопасностью данных, делятся (помимо прочего) на две большие группы. С хорошим финансированием своей деятельности и не очень. Я имею в виду, прежде всего техническое оснащение и специализированное программное обеспечение.
В контексте контроля слива данных от внутренних нарушителей – инсайдеров, ситуация выглядит примерно следующим образом. Имеются специализированные системы контроля данных, Data Leak Prevention системы. Бизнес хочет защитить данные, но когда видит ценник в несколько миллионов для обеспечения такой защиты, энтузиазм резко гаснет.
Еще больше он гаснет, когда выясняется, что 100% надежного контроля данных система обеспечить не может. Умный пользователь сумеет обмануть систему. Бизнес вопрошает: «За что плотим, то тогда? Давай ка батенька, крутись как хочешь, но чтоб и овцы были целы и волки сыты.»
В результате ИТ безопасник с силовыми корнями, выпускает кучу запретительных бумаг, проникновенно грозит народу кулачищем, мол только попробуйте слить. А безопасник технарь, вчерашний админ, начинает изобретать велосипед с квадратными колесами с целью, хоть как-то контролировать информацию. (А сочетание обоих подходов, вообще хорошо :)
Об одной системе, которую можно встроить в велосипед речь и пойдет.

Среди открытых решений контроля над данными мне попалось только два.
Это OpenDLP и MyDLP.
Из них MyDLP показалось более зрелым и функционально продвинутым.

MyDLP, открытое программное обеспечение предотвращения (контроля) утечек данных. Существует 2 лицензии использования. Бесплатная Community и платная Enterprise. Принципиальная разница между ними в Архивации передаваемых данных.
Если идет сработка на защищаемый файл, то Community, только вывесит Алерт на событие. Enterprise еще и сохранит копию файла.

Итак, идем на сайт www.mydlp.com и забираем 2 файла.
Серверную часть – ISO образ.
Агентскую часть – msi файл.

Установка серверной части.
Сервер построен на дружелюбной Убунте. Вставляем диск, Некст-Некст-Ребут. Серверная часть готова. Это действительно так :)
Назначаем серверу ip адрес и выпускаем его в интернет (это необходимо для обновлений и проверки лицензии).
В случае затруднений с установкой, инструкция там же на сайте.
www.mydlp.com/documents/

Далее открываем любой браузер и заходим на наш сервер.
Видим симпатичное окно.
Обзор открытой системы контроля за данными MyDLP
Теперь нам надо перейти по ссылке на secure.mydlp.com и получить Community лицензию.
Там тоже все очевидно.
После регистрации (сервер лезет в интернет, для проверки лицензии!), вводим дефолтные Логин и Пароль.
login:mydlp pass:mydlp

Обзор открытой системы контроля за данными MyDLP

И мы в серверной части.
Чтобы контролировать Почту и Веб трафик, нужно дополнительно настроить сервер шлюзом к вашим proxy и smtp серверам. Я данную функцию не тестировал, но о ней также подробно написано в документации.

Установка Агента.
Берем инсталлятор агента размером 88 Мб mydlp_0_9_104.msi и устанавливаем.
Большой размер инсталлятора объясняется тем, что включает в себя окружения Erlang, Java, cygwin и собственно сами компоненты программы, общий размер каталога агента после установки составит около 200 мб.
В процессе установки, инсталлятор задаст только 1 вопрос, какой адрес у сервера. После этого процесс инсталляции собственно и завершается.

Инсталятор можно распространить и через групповые политики, адрес сервера в там случае забивает с помощью батничка по пути

[HKEY_LOCAL_MACHINESOFTWAREMyDLP]
«ManagementServer»=«MYDLP_SERVER».

Обзор серверной части системы.
Возвращаемся к серверу.
В системе 7 закладок:Dashboard, Policy, Objects, Options, Logs, Endpoints, Revision.
Из них первая и последняя особого интереса не представляют. Панель часто используемых задач и версия системы.

Остальные более интересны…
+Policy
Обзор открытой системы контроля за данными MyDLP

Здесь у нас формируются правила контроля данных.
Слева источники данных и ключевые объекты контроля. Справа сами правила. Сейчас их три.

+Objects
Здесь можно посмотреть готовые предопределенные типы данных (документы Word,Excel и тд), создать свои.
Обзор открытой системы контроля за данными MyDLP

+Options
Различные настройки интервала опроса агентов, определение пользователей на доступ к серверной части. Здесь единственное, на чем заострю внимание, это на необходимости поставить галочку Print Monitor, для глобального включения контроля принтеров.
Остальное можно не трогать.
Обзор открытой системы контроля за данными MyDLP

+Logs
Собственно, то для чего все это затевалось. Лог мониторинга защищаемых данных.
Обзор открытой системы контроля за данными MyDLP
Можно фильтровать по дате, юзеру, правилам, ip и тд.

+Endpoints
Список агентов онлайн и оффлайн.
Обзор открытой системы контроля за данными MyDLP

Обзор агентской части.
Немаленький агент устанавливается жестко в Program Files в каталог MyDLP. Путь поменять нельзя. Внутри каталога можно видеть компоненты java, erlang и cygwin. Так-же инсталлируются 3 службы и 1 драйвер.
Похоже отслеживается типичный опенсорс подход, 1 компонент – 1 задача. :)
При первом запуске, агент сканирует установленные принтеры, и создает их виртуальные дубли. Ничуть не смущаясь, называя их по следующему принципу — (MyDlp)название_Вашего_принтера. Наивно ставит один из дублей принтером по умолчанию.

Потребляют все компоненты в сумме около 50 мегабайт оперативки, в злостном пожирании процессора замечены не были.
Для контроля принтеров под XP, дополнительно нужно выполнить хитрый батничек (лежит на сайте).
Под семеркой и так все работает.

Настройка серверной части.
Итак, в разделе Policy нажав на кнопку Add Rule, мы можем выбрать из 5 типов контролируемых каналов.
Обзор открытой системы контроля за данными MyDLP

Web и Почта заработает если, как я писал выше, сервер будет шлюзом для этих каналов.
Endpoint Rule – это контроль съемных устройств и перемещение защищаемых данных на них (данные получаются с агентской части).
Printer Rule –контроль печати (данные получаются с агентской части).
Discovery, перемещение защищаемых данных внутри локальной сети.

Выбрав канал контроля, нужно назвать новое правило уникальным именем и оно появится в общем списке.
На скриншоте выше у меня 2 правила для контроля съемных носителей и одно правило принтеров.
В каждом правиле нужно определить Источник контроля (Source) и тип Данных для контроля (файлы и содержимое).
Источники и Типы данных у нас описаны левой части, просто перетаскиваем их мышкой
на наши правила.
Во всех 3 правилах и Источник у меня один – вся сеть. Это значит собирать события со всех агентов независимо от их ip адреса.
Обзор открытой системы контроля за данными MyDLP

Тип данных описывает данные для контроля. Можно фильтровать как по типу, так и вставлять регулярные выражения для поиска по содержимому.
Обзор открытой системы контроля за данными MyDLP

И последнее, доступные действия, при срабатывании правила: Pass – пропустить, Block – заблокировать, Log – записать в лог. Функция Archive – создание теневой копии не доступна.

В моем случае 2 правила логируют вообще все события без разбора, как вывода на печать, так и копирование на флешку. Это правила Printer и Remote_drive
Первое правило выбрасывает алерт, только если в файле, скопированном на флешку, есть ключевое слово (слова). Это правило Secret_keywords.
Чтобы правила подхватили все агенты, нажимаем на большую кнопку Install Policy в правом верхнем углу.
Обзор открытой системы контроля за данными MyDLP

Тестирование системы.
Упор сделал на интересующей меня части, а именно контроль принтеров и съемных носителей.

Что можно сказать.
Контроль принтеров смотрится, просто ни каким. Обход элементарный. Пользователю достаточно выбрать принтер оригинал, а не дубль, и агент ничего не увидит. Более того, агент не видит новые принтеры, установленные после его запуска.
Обзор открытой системы контроля за данными MyDLP

А так все работает, отправляем на виртуальный принтер документ – видим запись в логе.

По съёмным носителям ситуация лучше.
Набиваем ключевые слова в правило Secret_keywords, можно использовать регулярные выражения. В лог начинают сыпаться файлы, в которых эти слова встречаются. Все остальное заливается в лог с пометкой правила Remote_drive.
Русские слова парсятся нормально, цифры и латиница и подавно.
Обзор открытой системы контроля за данными MyDLP

Соответственно можно сделать группы правил по типу.
Банковские данные, Бухгалтерия, Резюме, Научка и тд, в каждой свои ключевики. Тогда можно видеть, какой примерно тематики ходят файлы по флешкам юзеров.

Итог
Конечно система еще сыровата, вываливаются мелкие косячки. Однако по возникающим вопросам можно обратится к сообществу, а то и самому порыться в исходничках и серверной части. Думаю после доработки напильником, система вполне юзабельна.

ps. Пользуясь случаем, хочу попросить читательов поделится практическим опытом использования и внедрения коммерческих DLP решений. На сайте вендоров, как обычно, одна реклама. Про косяки и трудности никто не расскажет.

Автор: Spewow

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js