Symantec management agent что это
DLP-агент использовать можно, полагаться на него – вряд ли
Может показаться, что в 2017 году DLP-системы стали настолько привычным явлением в информационной безопасности, что вопросы перехвата трафика ушли на второй план.
Может показаться, что в 2017 году DLP-системы стали настолько привычным явлением в информационной безопасности, что вопросы перехвата трафика ушли на второй план.
Подходы различных производителей DLP к тому, какой трафик и где следует собирать, как правило, уходят корнями в их собственный опыт первых удачных проектов. Очевидно, что опыт этот варьировался от вендора к вендору, поскольку инфраструктура предприятия – вещь достаточно индивидуальная, да и личные предпочтения специалистов по информационной безопасности тоже оказывали свое влияние.
Тем не менее, в итоге сегодня практически любая DLP-система способна собирать трафик на почтовых серверах, сетевом шлюзе, прокси-сервере и конечных рабочих станциях. Однако этот последний пункт до сих пор вызывает много споров. Для одних агент DLP – панацея от всех угроз, для других – страдание. Об этом и хочется поговорить в данной статье.
Зачем вообще устанавливать агенты?
По классике DLP, агент требуется, чтобы обеспечивать на рабочих станциях контроль данных в покое (Data-at-rest) и данных в использовании (Data-in-use). Data-in-motion на 95% покрывается на уровне серверов, что не может не радовать.
В теории добавление агентского DLP позволяет не только осуществлять поиск конфиденциальной информации на ПК сотрудников, но и контролировать её обращение в ситуациях, когда машина находится не в сети, или когда информацией активно пользуются. Однако на практике вместе с широкими возможностями агенты несут с собой и массу трудностей.
Проблемы с установкой
Во-первых, агенты очень проблематично разворачивать. Ловушка здесь кроется на пилотных проектах: обычно агенты без проблем устанавливаются на несколько десятков или сотен машин, а вот когда наступает время промышленного внедрения, и тысячи машин должны обзавестись агентскими модулями, начинается самое интересное.
Когда у организации возникают проблемы с установкой DLP-агентов, первым свою дозу негатива, конечно, получает конкретный производитель. Но если пообщаться с опытными ИБ-специалистами, оказывается, что проблема глобальная. Попробуйте поискать что-то вроде «dlp agent not install» или «dlp agent problem». Вы обнаружите сотни страниц форумов, где пользователи жалуются на агентские модули мировых гигантов DLP.
Конфликты с имеющимся ПО
Было время, когда любой приличный антивирус моментально детектировал DLP-агента как вредоносное ПО. Со временем большинству производителей удалось решить эту проблему. Но важно помнить, что чем могущественнее агент и чем больше скрытых функций ОС он использует, тем выше вероятность конфликта.
По рынку некоторое время ходила история про некую организацию в Республике Беларусь, где был установлен антивирус ВирусБлокАда. Чтобы развернуть в организации агентскую часть DLP, вендору пришлось в срочном порядке разрабатывать «интеграционное решение» с данным антивирусным ПО. Поэтому когда вы слышите, что у решения есть интеграция с тем или иным антивирусом, в большинстве случаев имеется в виду не взаимный обмен событиями ИБ, а именно неконфликтность с DLP-агентом.
Контентный анализ на рабочей станции
Агентский модуль вынужден довольствоваться ограниченными ресурсами рабочей станции сотрудника, а она обычно представляет собой офисный десктоп или ноутбук, рассчитанный на работу с документами, почтовый клиентом и браузером. При всём при этом агент должен осуществлять контентный анализ прямо на рабочей станции. Это бьёт по производительности, и особенно сильно – если организация использует «развесистые» политики, нацеленные на защиту больших объёмов конфиденциальных данных, таких как выгрузки из баз данных или графических документов. Вы знаете, как работает OCR на рабочей станции или детектор печатей на большом объёме? Стоит один раз увидеть, чтобы навсегда запомнить.
Ложные срабатывания
В последнее время заметна тенденция к комбинированному использованию различных DLP-систем в одной инфраструктуре. Заказчики собирают лучшие функции от нескольких решений, и потом начинается творческий процесс настройки этого зоопарка. Проблема заключается в том, что разные решения начинают перехватывать один и тот же трафик и слать по 2-3 уведомления на одно и то же событие – конечно, в разные консоли. Разумеется, это приводит к тому, что место в архивах очень быстро заканчивается. И наконец, когда рабочая станция падает, начинается расследование, какой агент в этом виноват.
Агенты поддерживают не все платформы
Идеальная картинка инфраструктуры выглядит так: все пользователи используют одинаковые рабочие станции, например, на Windows 7 или даже на Windows 8, все проблемы совместимости с которой остались в прошлом. Этот идеал редко встречается в реальности, но даже если ваша компания – то самое редкое исключение, на повестке дня уже переход на Windows 10.
Проблема состоит в том, что далеко не все производители могут гарантировать стабильную работу агента с этой ОС. Например, если зайти на официальные ветки сообществ поддержки западных вендоров, можно увидеть большое число жалоб на несовместимость с новым творением Microsoft. Если вспомнить, как компания мастерски выкручивает руки антивирусным производителям, с продуктами которых ОС всё чаще конфликтует, то складывается впечатление, что Microsoft это на руку и скоро они доберутся до остальных endpoint-решений, чтобы навязать свои условия сотрудничества. Пользователям такая нестабильность с поддержкой грозит постоянными обновлениями и внезапными отказами DLP-агентов.
Мобильный агент – лучше убейте
Примерно в 2012 году компания Symantec ознаменовала новую эру развития DLP – предотвращение утечек на мобильных устройствах. Их решение заключалось в том, что iPhone или iPad настроен на работу через VPN-туннель, который направляет весь трафик устройства на сервер DLP, где происходит проверка политик. Что ж, технически все реализовано очень прозрачно. Только вы когда-нибудь пробовали проходить целый день с поднятым VPN? Остаётся только догадываться, как быстро разряжается батарея устройства. Тем более, в данном примере ни о каком агентском DLP на мобильном устройстве речи не идёт. Зная, как резко негативно Apple относится к любым фоновым приложениям, и, уж тем более, к тем, которые вмешиваются в процесс обработки данных, такому агенту не суждено появиться на свет. Неизвестно, почему Symantec не разработал DLP-решение под Android. Возможно, проблема в сегментации операционной системы, и разработчикам будет очень сложно поддерживать разные версии агентов для всех моделей телефонов. Да и для большинства процедур перехвата трафика потребуется рутовать устройство, а далеко не каждый опытный безопасник позволит делать это даже доверенному производителю.
Выводы
Полномасштабное внедрение DLP-системы сложно представить без мониторинга конечных точек. Ограничение на использование USB-носителей, контроль буфера обмена – эти каналы получается контролировать только на стороне агента.
Если же говорить про коммуникационный трафик, то современные технологии позволяют перехватывать почти всё на сетевом шлюзе и прокси-сервере. Даже анализировать SSL-трафик в прозрачном режиме без настроек в свойствах браузера. Поэтому мы рекомендуем всегда разумно подходить к выбору перехватчиков. Слишком часто решение «проще на агенте» оказывается глубоко ошибочным.
Обзор Symantec Mobile Management
Несмотря на то, что у нас системы управления мобильными устройствами только начинают получать распространение, на западе этот сегмент существует уже достаточно продолжительное время. Существует немало компаний, которые занимаются этими решениями. И хотя продукты от Microsoft и Sybase являются одними из самых популярных, есть и другие, весьма интересные и пользующиеся спросом. В этой статье я расскажу про Symantec Mobile Management (SMM).
SMM – продукт, предназначенный для управления мобильными устройствами на платформах Windows CE 4.2 – 5.x, Windows Mobile 2003, 5, 6, 6.1. Изначально был разработан компанией Altiris и именно под таким названием наиболее известен, но в феврале 2007 Symantec приобрела Altiris вместе со всеми разработками. Последняя версия 7.0, официально поддерживает только WM 6.1, но с WM 6.5 также успешно работает.
К главным особенностям данного продукта можно отнести следующие возможности:
Архитектура решения
В основе этого решения лежит концепция о единой платформе для управления. И, как результат, все продукты из семейства управления Symantec работают на базе компонента под названием Symantec Management Platform.
Архитектура продукта предполагает наличие следующих компонентов в сети:
В зависимости от масштабов внедрения все эти компоненты могут быть установлены на одном сервере либо разнесены по разным. Общая схема может выглядеть так:
Установка ПО и агентов
Для установки ПО Symantec Mobile Management необходим сервер с предустановленным Symantec Management Platform. Минимальные требования к серверу следующие:
Установка выполняется путем скачивания и запуска файла с именем вида «symantec_sim_7_0_kb45011_sp2.exe». В процессе установки будет выполнена проверка на минимальные аппаратные и программные требования. После этого в консоли необходимо выбрать нужные компоненты, после чего мастер скачает необходимые компоненты и закончит установку.
Управления SMM выполняется из веб-консоли и, поэтому, доступно с любой рабочей станции при наличии имени и пароля администратора.
Установка агентов на мобильные устройства выполняется путем скачивания с опубликованного портала пакета в формате «cab» и его запуска. По окончании установки агент подключится к управляющему серверу и получит первоначальные настройки.
Основные операции
Инвентаризация аппаратной и программной составляющих устройств и построение отчетов
В левой части экрана будет доступно меню с разделами:
В правой части будет раздел с информацией об устройстве.
Управление конфигурацией мобильного устройства и удаленное управление устройством
Меню в левой части экрана позволяет выполнять операции в следующих разделах:
Также здесь можно изменить глубину цвета для удаленного подключения, способы управления и рабочий масштаб при подключении. Само удаленное подключение имеет вид, аналогичный удаленному рабочему столу:
По окончании удаленного сеанса достаточно закрыть окно. При удаленной работе необходимо учитывать пропускную способность канала со стороны пользователя и его местонахождение, т.к. работа, например, с устройством в роуминге может привести к быстрому исчерпанию средств на счете пользователя.
Создание каталога ПО для мобильных устройств
В правой части необходимо заполнить следующие данные:
По окончании заполнения необходимо перевести переключатель в правой части экрана в положение ON и нажать кнопку Save Changes.
Управление установкой и удалением ПО на мобильных устройствах
На мобильных устройствах доставка ПО происходит автоматически в соответствии с заданным расписанием. Если необходимо ускорить процесс установки, то можно воспользоваться приложением «AppUpdate», которое генерирует запрос к управляющему серверу. При работе приложения пользователь должен указать какие приложения необходимо установить и нажать кнопку Install.
Symantec Mobile Management предоставляет большие возможности по управлению как группами мобильных устройств, так и отдельными устройствами. При этом сама концепция управления отличается от других решений – здесь нет привычных политик, которые бы применялись к устройствам и группам устройств. При комбинации с возможностями Exchange Server либо других решений MDM, которые позволяют использовать политики устройств, SMM способно обеспечить полный контроль за устройством, а также создать среду для организации полноценной уделенной поддержки пользователей.
Если у вас появится желание попробовать SMM, то с сайта Symantec можно скачать пробную версию, которая будет работать 30 дней и позволит управлять не более чем 10-ю устройствами.
Что такое aexnsagent.exe? Это безопасно или вирус? Как удалить или исправить это
Что такое aexnsagent.exe?
aexnsagent.exe это исполняемый файл, который является частью Symantec Asset Management Agent Программа, разработанная Altiris, Inc., Программное обеспечение обычно о 24.26 MB по размеру.
Aexnsagent.exe безопасный или это вирус или вредоносная программа?
Первое, что поможет вам определить, является ли тот или иной файл законным процессом Windows или вирусом, это местоположение самого исполняемого файла. Например, такой процесс, как aexnsagent.exe, должен запускаться из C: \ Program Files \ altiris \ altiris agent \ aexnsagent.exe, а не в другом месте.
Если статус процесса «Проверенная подписывающая сторона» указан как «Невозможно проверить», вам следует взглянуть на процесс. Не все хорошие процессы Windows имеют метку проверенной подписи, но ни один из плохих.
Наиболее важные факты о aexnsagent.exe:
Если у вас возникли какие-либо трудности с этим исполняемым файлом, перед удалением aexnsagent.exe вы должны определить, заслуживает ли он доверия. Для этого найдите этот процесс в диспетчере задач.
Найдите его местоположение (оно должно быть в C: \ Program Files \ altiris \ altiris agent) и сравните размер и т. Д. С приведенными выше фактами.
Если вы подозреваете, что можете быть заражены вирусом, вы должны немедленно попытаться это исправить. Чтобы удалить вирус aexnsagent.exe, необходимо Загрузите и установите приложение полной безопасности, например Malwarebytes., Обратите внимание, что не все инструменты могут обнаружить все типы вредоносных программ, поэтому вам может потребоваться попробовать несколько вариантов, прежде чем вы добьетесь успеха.
Могу ли я удалить или удалить aexnsagent.exe?
Не следует удалять безопасный исполняемый файл без уважительной причины, так как это может повлиять на производительность любых связанных программ, использующих этот файл. Не забывайте регулярно обновлять программное обеспечение и программы, чтобы избежать будущих проблем, вызванных поврежденными файлами. Что касается проблем с функциональностью программного обеспечения, проверяйте обновления драйверов и программного обеспечения чаще, чтобы избежать или вообще не возникало таких проблем.
Распространенные сообщения об ошибках в aexnsagent.exe
Наиболее распространенные ошибки aexnsagent.exe, которые могут возникнуть:
• «Ошибка приложения aexnsagent.exe».
• «Ошибка aexnsagent.exe».
• «Возникла ошибка в приложении aexnsagent.exe. Приложение будет закрыто. Приносим извинения за неудобства».
• «aexnsagent.exe не является допустимым приложением Win32».
• «aexnsagent.exe не запущен».
• «aexnsagent.exe не найден».
• «Не удается найти aexnsagent.exe».
• «Ошибка запуска программы: aexnsagent.exe».
• «Неверный путь к приложению: aexnsagent.exe.»
Как исправить aexnsagent.exe
Если у вас возникла более серьезная проблема, постарайтесь запомнить последнее, что вы сделали, или последнее, что вы установили перед проблемой. Использовать resmon Команда для определения процессов, вызывающих вашу проблему. Даже в случае серьезных проблем вместо переустановки Windows вы должны попытаться восстановить вашу установку или, в случае Windows 8, выполнив команду DISM.exe / Online / Очистка-изображение / Восстановить здоровье, Это позволяет восстановить операционную систему без потери данных.
Чтобы помочь вам проанализировать процесс aexnsagent.exe на вашем компьютере, вам могут пригодиться следующие программы: Менеджер задач безопасности отображает все запущенные задачи Windows, включая встроенные скрытые процессы, такие как мониторинг клавиатуры и браузера или записи автозапуска. Единый рейтинг риска безопасности указывает на вероятность того, что это шпионское ПО, вредоносное ПО или потенциальный троянский конь. Это антивирус обнаруживает и удаляет со своего жесткого диска шпионское и рекламное ПО, трояны, кейлоггеры, вредоносное ПО и трекеры.
Обновлен декабрь 2021:
Мы рекомендуем вам попробовать это новое программное обеспечение, которое исправляет компьютерные ошибки, защищает их от вредоносных программ и оптимизирует производительность вашего ПК. Этот новый инструмент исправляет широкий спектр компьютерных ошибок, защищает от таких вещей, как потеря файлов, вредоносное ПО и сбои оборудования.
Загрузите или переустановите aexnsagent.exe
Вход в музей Мадам Тюссо не рекомендуется загружать файлы замены exe с любых сайтов загрузки, так как они могут сами содержать вирусы и т. д. Если вам нужно скачать или переустановить aexnsagent.exe, то мы рекомендуем переустановить основное приложение, связанное с ним Symantec Asset Management Agent.
Информация об операционной системе
Ошибки aexnsagent.exe могут появляться в любых из нижеперечисленных операционных систем Microsoft Windows:
Это ПО делает жизнь хакеров проще, а нашу с вами — сложнее
Раньше хакерам приходилось с нуля создавать угрозы. Из-за сложности процесса кибератаками занимались лишь преступники с высоким уровнем подготовки.
Сегодня готовый инструментарий дает возможность организовать кибератаку даже дилетантам, которые, купив его за несколько сотен долларов, могут, например, создать новую шпионскую программу на основе существующих шаблонов. Так инновации самых изощренных целевых атак постепенно приходят в массы, а количество сигнатур растет в геометрической прогрессии.
Что представляет собой эти инструменты?
Это программное обеспечение для организации массовых кибератак на сетевые компьютеры, которым могут пользоваться как новички, так и профессионалы. Это ПО позволяет киберпреступнику использовать множество содержащихся в комплекте эксплойтов для известных уязвимостей. Более того, оно позволяет автоматизировать проведение атак и настраивать действие вредоносных программ таким образом, чтобы избегать их обнаружения. По нашим данным, с его использованием инструментов автоматизации осуществляется около 60% атак, и это не может не влиять на нашу работу.
Дополнительные сервисы
Сегодня многие инструменты часто продаются по подписке, которая предусматривает регулярные обновления, возможность расширения функциональности и техническую поддержку. Киберпреступники массово рекламируют услуги по установке таких инструментов, предоставляют на платной основе доступ к консолям управления и используют коммерческие средства защиты от пиратов, во избежание бесплатного пользования этими программами.
Рост прибыльности кибератак стимулирует создание более продвинутых инструментов с широким набором функций. Появились дополнительные услуги, которые направляют пользователей на вредоносные веб-сайты, где их компьютеры могут быть взломаны: используются спам-рассылки, агрессивная стратегия оптимизации результатов поиска (SEO), внедрение программного кода в легитимные веб-сайты, а также вредоносная реклама.
Обзор рынка
Наиболее популярными комплектами для проведения кибератак являются MPack, Neosploit, ZeuS, Nukesploit P4ck и Phoenix.
Например, основная задача Zeus состоит в хищении банковских данных. Он особенно опасен для небольших компаний, где устанавливают меньше средств защиты финансовых транзакций, и это делает их уязвимыми и привлекательными для Zeus и мошенников.
Эволюция
Картинка кликабельна
Влияние на средства защиты
Отчасти именно благодаря такому инструментарию антивирусным компаниям приходится создавать все больше сигнатур каждый год.
Из-за роста их количества сигнатурное сканирование становится все более ресурсоемким, что может негативно отразиться на производительности наших компьютеров. Его дополняют эвристикой и поведенческим анализом, но это до конца не решает проблему. Мы в Symantec верим, что будущее за облачными репутациоными технологиями, и недавно уже писали о вреде антивирусного сканирования и наших новых технологиях, позволяющих детектировать угрозы вообще без сканирования — с помощью репутационной системы.
Устанавливайте обновления для ПО!
Из-за быстрого распространения знаний о новых уязвимостях систем и возможностях их использования, уже через считанные дни после обнаружения уязвимостей киберпреступники начинают активно ими пользоваться и атаковать организации, которые еще не успели установить необходимые патчи.
Устанавливать все необходимые обновления (для ОС, браузеров, плагинам к браузерам и т.п.) — это очень важно. Подавляющее большинство уязвимостей на типовой системе можно закрыть, просто установив все необходимые обновления. Крупным компаниям с развитой инфраструктурой стоит иметь хороший сканер уязвимостей, который бы осуществлял их обнаружение в системе, ранжировал их по критичности и выдавал администратору соответствующий отчет о здоровье системы и рекомендациях по его поправлению. Другой важный аспект — это автоматизация непосредственно установки обновлений. Она должна быть. Офисные сотрудники не должны отвлекаться во время работы для установки обновлений, а компания должна быть уверена, что на компьютере ее главного бухгалтера установлен последний патч Java-плагина, закрывающий известную уязвимость, которую умеют успешно атаковать 25 разновидностей зловредного ПО, созданного за последние пару дней с помощью Zeus, и атака на которую может привести к коллапсу в финансовой системе компании.
Берегите ваши компьютеры!
С наилучшими пожеланиями,
Ваш Symantec
Обзор Symantec Data Loss Prevention 12.5
В обзоре рассматривается Symantec Data Loss Prevention (DLP) 12.5, новая версия комплексного DLP-решения от корпорации Symantec, одного из признанных лидеров мирового рынка. Новинка получила целый ряд значительных улучшений по сравнению с предыдущей версией.
Введение
Компания Symantec давно присутствует на российском DLP-рынке и в целом она является признанным мировым лидером на рынке систем DLP. На протяжении многих лет решение Symantec занимает лидирующую позицию по версии аналитического агентства Gartner в исследовании Content-Aware Data Loss Prevention.
Решение Symantec Data Loss Prevention (DLP) ориентировано на внедрение в компаниях практически любых масштабов, начиная от небольших (с количеством пользователей от 100 и более) и заканчивая крупными компаниями (с количеством пользователей, превышающим отметку 10 и даже 100 тысяч).
Самое крупное внедрение Symantec DLP было произведено в компании, в которой работает более 300 тысяч сотрудников, к сожалению, название компании не разглашается. Самым крупным открытым внедрением было внедрение в консалтинговой компании Deloitte, в которой работает порядка 180 тысяч сотрудников.
Решение Symantec DLP обеспечивает защиту информации на всех ресурсах IT-инфраструктуры предприятия:
Сегодня мы расскажем о новой версии решения – Symantec Data Loss Prevention (DLP) 12.5, которое было представлено всего несколько недель назад.
Новые возможности Symantec Data Loss Prevention 12.5
В сравнении с предыдущей версией, в Symantec DLP 12.5 появился целый ряд новых возможностей и улучшений.
Основные изменения в Symantec DLP 12.0
Архитектура Symantec Data Loss Prevention 12.5
Таблица 1. Состав и назначение модулей Symantec DLP 12.5
| Группа модулей | Функциональный состав | Назначение |
| Enforce platform | Symantec DLP Enforce server | Центральная платформа управления Symantec DLP |
| Oracle Database for Symantec DLP * | База данных для хранения отчётности, инцидентов, конфигурации и настроек системы | |
| Endpoint | Symantec DLP Endpoint Discover | Обнаружение конфиденциальных данных на локальных дисках рабочих станций и ноутбуков |
| Symantec DLP Endpoint Prevent | Контроль и предотвращение утечек данных с рабочих станций и ноутбуков | |
| Storage | Symantec DLP Network Discover | Обнаружение конфиденциальных данных размещенных на корпоративных хранилищах информации (файловые серверы, веб-серверы, СУБД и т.д.) |
| Symantec DLP Data Insight | Отслеживание использования информации, размещенной на хранилищах, контроль прав доступа, определение владельцев данных т.д. | |
| Symantec DLP Self-Service Remediation portal | Привлечение владельцев к исправлению ошибок размещения КИ или изменению прав доступа на ресурсы | |
| Symantec DLP Network Protect | Автоматическое исправление размещения КИ на файловых серверах и порталах Sharepoint (карантин | |
| Symantec DLP Classification Server | Классификация электронной почты при помещении в архивы и журналы Symantec Enterprise Vault | |
| Network | Symantec DLP Network Monitor | Контроль перемещения конфиденциальных данных по сетевым каналам связи (пассивный) |
| Symantec DLP Network Prevent for Web | Контроль перемещения конфиденциальных данных по сетевым каналам связи (активный с возможностью блокировки и анализа шифрованного трафика) | |
| Symantec DLP Network Prevent for Mail | ||
| Mobile | Symantec DLP Mobile Prevent | Контроль отправляемой с мобильных устройств конфиденциальной информации (почта, приложения, веб-сервисы) |
| Symantec DLP Mobile Email Monitor | Контроль скачиваемой на мобильные устройства через почту конфиденциальные данные | |
| Symantec Management Platform | Symantec DLP IT Analytics | Дополнительный модуль (бесплатный) для расширенной отчетности |
| Symantec DLP Integration Component | Инструментарий автоматического развертывания агентов и контроля их работы (бесплатный) |
* Предусмотрена возможность использования уже существующей в компании СУБД Oracle
На рисунке 1 представлена принципиальная схема развёртывания и работы Symantec DLP 12.5.
Рисунок 1. Принципиальная схема работы Symantec DLP 12.5
В отличие от многих других решений, которые поставляются как программно-аппаратные комплексы, Symantec DLP 12.5 поставляется как набор программного обеспечения, готового для установки.
Модули Symantec DLP 12.5 можно устанавливать практически в любом составе на любое аппаратное обеспечение, которое соответствует системным требованиям, в том числе на виртуальные серверы.
Функциональные возможности Symantec DLP 12.5
Первичной задачей Symantec DLP является выявление и блокировка передачи (или помещение на карантин) конфиденциальной информации (КИ), содержащейся:
Для решения этой задачи Symantec DLP располагает несколькими технологиями обнаружения КИ, применяемыми совместно или по отдельности (в зависимости от характера защищаемых данных):
Вторая задача Symantec DLP – это оперативное реагирование на события, связанные с обменом, передачей или выявлением КИ на недопустимых ресурсах в соответствии с заданными правилами/политиками: предупреждение, перемещение в карантин, блокировка, изменение прав/списка доступа, перемещение из недоверенной среды на «правильные» ресурсы, шифрование и пр.
Для создания политик можно использовать готовые шаблоны, которые можно использовать без изменений (например, для контроля персональных данных) или же изменять в соответствии с текущими требованиями.
В случае срабатывания политики – потенциального или реального инцидента ИБ (утечки КИ), Symantec DLP включает механизм уведомления и контроля расследования инцидентов.
Symantec DLP содержит средства подготовки аналитической отчётности и визуального представления информации касательно рисков ИБ, динамики, тенденций и количественных характеристик.
Таким образом, основной целью Symantec DLP является предотвращение утечек конфиденциальной информации за счёт использования различных технологий и средств технического контроля, обучения сотрудников правилам обработки конфиденциальной информации и расследования каждого произошедшего инцидента.
Описание модулей Symantec DLP 12.5
Теперь перейдём к рассмотрению функциональных возможностей каждого модуля, который входит в состав Symantec DLP.
Начнём с Enforce Platform. Это основная интегрирующая и управляющая платформа Symantec DLP. Управление набором модулей DLP осуществляется через Web-интерфейс и позволяет выполнять следующие операции:
СУБД Oracle представляет собой централизованное хранилище инцидентов, журналов событий, настроек системы, политики безопасности и теневых копий перехваченных данных.
Для отслеживания и контроля данных, передаваемых по сетевым каналам связи, предназначена группа модулей Network, в состав которой входят модули Symantec DLP Network Monitor, Network Prevent for Web и Network Prevent for Mail.
Network Monitor – модуль, предназначенный для анализа зеркалированного сетевого трафика, который передаётся на анализ с помощью дополнительного сетевого оборудования: коммутаторов или TAP устройств.
Модуль Network Monitor позволяет на основе сигнатур анализировать протоколы: SMTP, HTTP, NNTP, AOL, MSN, YAHOO. Другие сетевые протоколы анализируются, основываясь на используемых ими сетевых портах.
Network Prevent for E-Mail это модуль, который предназначен для анализа и блокирования электронной почты, передаваемой по протоколам SMTP или ESMTP. С технической точки зрения является (E)SMTP Proxy.
Предоставляет несколько вариантов интеграции в почтовую инфраструктуру – как в разрыв, так и параллельная обработка.
Теперь рассмотрим функциональность группы модулей Storage, в состав которой входят Symantec DLP Network Discover, Network Protect, Data Insight, Self-Service Remediation Portal, Classification server. Эта группа модулей предназначена для контроля данных, которые находятся на сетевых ресурсах компании, файловых хранилищах и в системах электронного документооборота.
Поддерживается сканирование следующих источников данных:
Сканирование источников осуществляется по расписанию с правами заданного пользователя.
Network Protect. Этот модуль является расширением модуля Network Discover и позволяет перемещать или копировать те данные, которые нарушают политики безопасности. В случае перемещения файлов предусмотрена возможность оставлять на их месте файл-заглушку, имеющий то же название, что и переносимый файл, но с заданным текстом внутри.
Data Insight – модуль, предназначенный для сбора информации о действиях (создание файла, запись, чтение и т.д.), совершаемых с файлами на уровне файловой системы. Данные могут собираться с файловых серверов на платформе Windows, серверов Microsoft Sharepoint, а также NAS-серверов компания NetApp и EMC. Кроме этого, можно сформировать отчетность по доступу к файлам, а также занятому месту на серверах. Также модуль Data Insight позволяет контролировать с помощью политик безопасности доступ к файлу, доступ к файлу пользователей, не находящихся в белых списках.
Возможности Data Insight позволяют определить нестандартное поведение пользователей в отношении доступа к данным.
Data Insight состоит из следующих компонентов, которые могут устанавливаться как на одном, так и на разных серверах, в зависимости от инфраструктуры заказчика:
На рисунке 2 показана принципиальная схема развёртывания и работы Data Insight в инфраструктуре заказчика.
Рисунок 2. Схема работы и развёртывания Data Insight из состава Symantec DLP 12.5
Data Insight Self-Service Remediation portal – это модуль с помощью которого администраторы файловых хранилищ и сотрудники отделов безопасности могут привлечь владельцев бизнес-данных для исправления ошибок размещения критичной информации и изменения прав доступа на важные данные при помощи веб-портала.
Для защиты конечных точек инфраструктуры компании используются модули Symantec DLP Endpoint Discover и Endpoint Prevent.
Задачи модуля Endpoint Discover включают в себя поиск и анализ файлов, хранящихся на рабочих станциях. Поиск осуществляется установленным на рабочей станции Endpoint-агентом.
Анализ файлов происходит локально, за исключением анализа по цифровым отпечаткам, для чего данные передаются на Endpoint-сервер. Данные об инциденте передаются с агента на серверы Endpoint и далее на модуль Enforce по шифрованному каналу. Сертификат шифрования может использоваться как встроенный, так и созданный дополнительно.
Для контроля действий пользователей на рабочих станциях используется модуль Endpoint Prevent.. Контроль производится с помощью Endpoint-агента, который устанавливается на рабочие станции и серверы.
Endpoint-агент анализирует данные, передаваемые следующими способами:
В случае нарушения политик на рабочей станции, с помощью агента может выдаваться диалоговое окно для пользователя с требованием объяснить необходимость совершаемого действия.
Для обеспечения защиты данных, которые передаются посредством мобильных устройств предназначены модули Symantec DLP Mobile Prevent и Mobile Email Monitor.
Symantec DLP Mobile Prevent предназначен для контроля информации отправляемой в сеть интернет через мобильные устройства iPad и iPhone по сетевым каналам HTTP/S, FTP. Он позволяет контролировать мобильную почту и мобильные приложения такие как: FaceBook, DropBox, Twitter, Gmail, GoodReader..
Для контроля почты, которая передаётся на мобильные устройства используется модуль Symantec DLP Mobile Email Monitor.
Дополнительный контроль и управление Symantec DLP 12.5 осуществляется при помощи Symantec Management Platform. В её состав входят Symantec DLP Integration Component и Symantec DLP IT Analytics. Рассмотрим функции этих модулей.
Symantec DLP Integration Component –это компонент, который предназначен для автоматизации развертывания, учета, обновления и удаления агентов Symantec DLP. Он может быть расширен до полноценного патч-менеджмент решения и решения по инвентаризации и т.д.
Symantec DLP IT Analytics позволяет получить расширенную отчетность. Также он предназначен для создания кастомизированной отчетности по многим продуктам Symantec, включая Symantec DLP 12.5.
В случае обнаружения неправомерных действий пользователя Symantec DLP 12.5 позволяет:
Возможности интеграции в Symantec DLP 12.5
Базовую функциональность продукта Symantec Data Loss Prevention можно без труда расширить с помощью других решений Symantec в области обеспечения безопасности и хранения данных:
Для расширения функциональных возможностей всего комплекса Symantec DLP 12.5, разработчиками предусмотрена интеграция с широким спектром сторонних решений:
Кроме того, в системе есть набор API для интеграции с другими приложениями любых производителей:
Подобный подход позволяет значительно усилить безопасность инфраструктуры в целом, снизить совокупную стоимость обслуживания, упростить работу обслуживающему персоналу.
Аналитические возможности
Перехваченные данные анализируются системой при помощи специальных аналитических алгоритмов. Рассмотрим эти алгоритмы поподробнее.
Symantec DLP 12.5 использует 4 основные метода обнаружения контента:
Также может осуществляться автоматическое обучение системы, применяться гибридный анализ (комбинация различных методов обнаружения в рамках одного правила или одной политики).
В Symantec DLP 12.5 по умолчанию включены сигнатуры около 400 форматов самых популярных файлов. При этом можно добавлять свои форматы файлов при помощи специальной утилиты File Type Analyzer. При проверке передаваемых или копируемых файлов система не ориентируется на расширение файла, пользователь не сможет обмануть её изменив расширение, к примеру, doc на avi или zip на jpeg. Определение типа файла реализовано путём проверки двоичных (шестнадцатеричных) данных самого файла.
Как видно из вышеперечисленного, Symantec DLP 12.5 обладает широкими функциональными возможностями для того, чтобы обеспечить полный комплексный подход к защите инфраструктуры компании от различных инцидентов, связанных с утечками важных данных и контроля движения информации.
Теперь мы переходим к следующему важному разделу нашего обзора — Системные требования Symantec DLP 12.5.
Системные требования
Поскольку Symantec DLP 12 предназначен для использования в крупных инфраструктурах, то системные требования зависят от размера инфраструктуры.
Различают три варианта:
Операционные системы, используемые для развертывания серверных компонентов:
Агенты Symantec DLP 12.5, которые устанавливаются на конечные точки сети, не требовательны к аппаратным ресурсам. Для них необходимо наличие
80 Мб на жёстком диске и практически любая операционная система линейки Microsoft Windows, начиная с ХР SP2, уровня не ниже Professional и заканчивая Microsoft Windows 8.1 Update 1.
Для нормального функционирования агента достаточно компьютера с процессором не хуже Celeron 1000 МГц и 256 МБ ОЗУ. Начиная с версии 12.5, агенты поддерживают установку на Mac OS X 10.8-10.9 (только для поиска по локальным дискам).
Модули Symantec DLP for Mobile поддерживают работу с устройствами iPad и iPhone (вся линейка), которые работают под управлением ОС iOS для iPad 6.0-7 и iOS для iPhone 6.0-7. Для контроля корпоративной почты необходимо наличие Microsoft Exchange 2003-2010 с ActiveSync.
Ввиду широкого распространения виртуализации, большинство модулей Symantec DLP 12.5 поддерживает возможность развёртывания в виртуальной инфраструктуре. Все модули кроме Network Monitor и СУБД Oracle поддерживают виртуализацию и могут устанавливаться в виртуальные среды VMware ESX/ESXi 4.0-4.1, VMware ESXi 5.x. (версии VMware только х64).
В виртуальной среде один виртуальный сервер управления агентами не рекомендуется использовать для обслуживания более 5000 агентов. Если необходимо обслуживать более 5000 агентов, то необходимо добавить еще один сервер управления агентами.
Агенты Symantec DLP 12.5 поддерживают работу в средах VDI, Citrix XenDesktop, VMware View и Microsoft Hyper-V. Так же поддерживаются виртуальные приложения, опубликованные при помощи Citrix XenApp 4.5/6.0/6.5 и виртуальные машины VMware Workstation.
На этом закончим с разбором системных требований Symantec DLP 12.5 и перейдём к рассмотрению установки этой системы.
Установка Symantec DLP 12.5
Полностью описать все этапы установки Symantec DLP 12.5 не представляется возможным в рамках данного обзора. Мы расскажем о некоторых ключевых моментах.
Компания Symantec рекомендует устанавливать каждый модуль Symantec DLP 12.5 на отдельный сервер для контроля организаций, в которых работает больше 1000 пользователей. Развёртывание на одном сервере нескольких модулей или даже практически всех официально поддерживается начиная с версии 12.5.
Для Symantec DLP 12.5 предусмотрено несколько различных вариантов установки:
В одноуровневом варианте установки база данных, Enforce-сервер и модули обнаружения устанавливаются на один сервер. Этот вариант установки используется для компаний или филиалов, в которых работает не более 1000 пользователей.
При двухуровневом варианте установки база данных и Enforce-сервер устанавливаются на один сервер, модули обнаружения устанавливаются на отдельные сервера. Данный вариант установки может быть рекомендован в том случае, если в компании нет отдельного отдела поддержки баз данных, который мог бы заниматься её своевременным обслуживанием.
Трёхуровневый вариант установки рекомендуется компанией Symantec для использования в том случае, когда в компании есть отдел, который занимается обслуживанием баз данных.
В этом варианте все компоненты Symantec DLP 12 устанавливаются на отдельные сервера.
Развёртывание Symantec DLP 12 происходит по следующей схеме:
В этом варианте установки для развёртывания Symantec DLP 12.5 необходимо выделение в инфраструктуре как минимум двух серверов.
Далее мы покажем несколько типовых схем развёртывания отдельных модулей. Стоит отметить, что данные варианты очень приблизительны, и конечная схема развёртывания зависит от инфраструктуры заказчика.
Начнём с модуля Symantec Network Monitor. Его типовая схема развёртывания показана на рисунке 3.
Рисунок 3. Типовая схема развёртывания сервера с Symantec DLP Network Monitor 12.5
Как видно из рисунка, сервер с Network Monitor получает политики от сервера управления и, обрабатывая полученный трафик от Span(Tap)-порта сетевого коммутатора, ищет наличие нарушений политик.
Типовой вариант сервера Network Prevent for Email для защиты исходящей электронной почты показан на рисунке 4. Данная схема позволяет отслеживать и анализировать почтовые сообщения и вложения, а также применять к ним различные действия, согласно заданных политик.
Рисунок 4. Типовая схема развёртывания Symantec DLP Network Prevent for Email 12.5
Модуль Network Prevent for Web можно интегрировать в инфраструктуру так, как показано на рисунке 5.
Рисунок 5. Типовая схема подключения модуля Symantec DLP Network Prevent for Web в инфраструктуре 12.5
Network Prevent for Web работает совместно с прокси-сервером по протоколу ICAP.
Типовая схема работы модуля Mobile Email Monitor показана на рисунке 6. На этом рисунке видно как с помощью Mobile Email Monitor осуществляется контроль корпоративной электронной почты, при доступе к ней с мобильных устройств. Запрошенные мобильным устройствам данные, сначала проходят через прокси-сервер и затем передаются на сервер Mobile Email Monitor, где эти данные будут проверяться на предмет наличия в них конфиденциальной информации.
Рисунок 6. Типовая схема работы модуля Symantec DLP Mobile Email Monitor 12.5
Типовая схема подключения модуля Mobile Prevent for Web приведена на рисунке 7.
Для реализации такой схемы необходимо, чтобы мобильные устройства подключались к инфраструктуре компании по VPN-каналу. В этом случае Mobile Prevent for Web может контролировать HTTP/HTTPs и FTP, ActiveSync трафик и трафик мобильных приложений. Если же устройство подключается к корпоративной сети не по VPN, Mobile Prevent for Web не сможет осуществлять какой-либо контроль передачи данных, кроме ActiveSync, но с другой стороны такая схема работы снимает нагрузку с мобильного устройства и дольше сохраняет заряд батареи.
Рисунок 7. Типовая схема подключения Symantec DLP Mobile Prevent for Web 12.5
Интеграция в инфраструктуру модулей Endpoint Discover и Endpoint Prevent осуществляется приблизительно так, как показано на рисунке 8.
Рисунок 8. Типовая схема подключения модулей Symantec DLP Endpoint Discover и Endpoint Prevent 12.5
Архитектура работы модулей Data Insight и Self-Service Remediation Portal выглядит приблизительно так, как показано на рисунке 9.
Рисунок 9. Архитектура работы модулей Symantec Data Insight и Self-Service Remediation Portal 12.5
На этом мы закончим краткое описание принципов развёртывания Symantec DLP 12.5 и перейдём к следующему важному разделу — основы работы с Symantec DLP 12.5.
Основы работы с Symantec DLP 12
К сожалению, ввиду большого объёма возможностей, мы не можем в полном объёме рассказать о всех аспектах работы с Symantec DLP 12.5. В качестве примера мы покажем основные рабочие задачи.
После того, как выполнены все первоначальные этапы развёртывания Symantec DLP 12.5, можно начинать работу с системой.
Доступ к данным внутри Symantec DLP осуществляется только через веб-интерфейс. Для повышения уровня безопасности при работе с Symantec DLP 12.5 предусмотрена ролевая система доступа с гранулированным распределением прав. Доступ к данным регулируется на основе любых атрибутов системы, инцидентов, пользователей и т.д. Если каких-либо атрибутов не хватает, то их можно создать дополнительно и также использовать для контроля доступа.
Интеграция с Active Directory позволяет реализовать удобный доступ в консоль DLP системы при помощи привычных пользователям учетных данных. В купе с ролевой моделью доступа, интеграция с AD позволяет дать доступ в систему даже руководителям подразделений для контроля своих подчиненных.
Рисунок 10. Главное окно веб-консоли Symantec DLP 12.5
В первую очередь необходимо подключить к Enforce-серверу развёрнутые сервера обнаружения. А затем сконфигурировать политики системы.
Это легко осуществляется с помощью консоли управления. В качестве примера возьмём новый модуль Symantec DLP Mobile Email Monitor.
Компания Symantec рекомендует проводить подключение и настройку сервера Mobile Email Monitor по такому алгоритму:
Рисунок 11. Подключение сервера Mobile Email Monitor к Enforce-серверу с помощью консоли управления Symantec DLP 12.5
На рисунке 12 показаны расширенные настройки сервера Mobile Email Monitor.
Рисунок 12. Расширенные настройки сервера Symantec DLP Mobile Email Monitor 12.5
Прокси сервер подключается как ICAP-клиент к серверам детектирования, настройку прокси-сервера мы пропустим, поскольку это выходит за рамки данного обзора.
Остановимся на создании тестовой политики, которая будет использоваться для проверки работоспособности сервера.
Политики в Symantec DLP 12.5 представляют собой набор правил детектирования контента, контекста и ответных действий. Они могут быть пользовательскими либо созданы на основе шаблонов. В текущей версии Symantec DLP предустановлены 65 различных шаблонов политик.
В таблице 2 перечислены компоненты политики и указано, какие из компонентов являются обязательными, а какие — нет.
Таблица 2. Состав политик Symantec DLP 12.5
| Компонент | Необходимость | Пояснения |
| Имя политики | Обязательно | Имя политики должно быть уникальным |
| Группа политики | Обязательно | Политика должна быть назначена группе политик |
| Правила политики и исключения* | Обязательно | Политика должна содержать правила, которые определяют хотя бы одно условия совпадения |
| Профили данных и исключения* | Может потребоваться | Профили данных необходимо задавать в политике, если методы обнаружения в политике их требуют. (EDM, IDM, VML) |
| Группа пользователей и исключения* | Может потребоваться | Указание группы пользователей необходимо в том случае, если групповые методы в политике этого требуют |
| Описание политики | Опционально | Используется для облегчения администрирования |
| Правила реагирования и исключения* | Опционально | Используются в том случае, если нужно реагирование системы на инцидент при срабатывании политики |
| *Исключения | Опционально | Используются для указания объектов, на которые не должно распространяться действие политики. Это могут быть как информация определенной категории, профили данных (включая цифровые отпечатки и т.д.), группы пользователей или отдельные пользователи, проктолы, веб-домены, почтовые домены и т.д. |
Пакеты решений предоставлены для таких отраслей: Фармацевтика, Энергетика Социальные данные, Финансы, Медицина, IT, Страхование, Производство, Медиа-индустрия, Торговля, Телекоммуникации, Общие.
Базируясь на этих пакетах решений, можно быстро создать собственные наборы политик и пр., под конкретику компании.
Отчётность Symantec DLP 12.5
Отчётность формируется по большинству атрибутов инцидента. Она бывает трёх типов, отражает различные тренды, в том числе и двухуровневые.
Symantec DLP 12 отслеживает инциденты для всех серверов обнаружения и предоставляет следующие виды отчётов по инцидентам:
Так как атрибуты инцидента могут добавляться – то и отчетность может расширяться. Кроме того, все отчеты в интерфейсе «живые», т.е. увидев определенный параметр и нажав на него мы моментально перейдём в отчет с дополнительной фильтрацией по интересующему нас параметру.
Для удобства работы с инцидентами предусмотрена возможность фильтрации отчётности по различным критериям. На рисунке 13 показан список зарегистрированных инцидентов.
Рисунок 13. Список зарегистрированных инцидентов в Symantec DLP 12.5
На рисунке 14 мы видим итоговую статистику по инцидентам, отфильтрованных по типу протоколов перехвата.
Рисунок 14. Суммарная статистика инцидентов, с выборкой по протокола перехвата в Symantec DLP 12.5
На рисунке 15 показан пример фильтрации отчётности по протоколам перехвата, с отображением статистики инцидентов по неделям.
Рисунок 15. Статистика инцидентов, отфильтрованных по протоколам перехвата, с итоговыми данными по неделям в Symantec DLP 12.5
Также можно посмотреть итоговую статистику по каждому пользователю, как это показано на рисунке 16.
Рисунок 16. Статистика инцидентов, отфильтрованных по протоколам перехвата, с итоговыми данными по пользователям в Symantec DLP 12.5
В случае нехватки встроенных средств отчётности можно использовать модуль ИТ-аналитики Symantec DLP IT Analytics, предоставляемый бесплатно. При помощи этого модуля можно проводить многомерный анализ статистики и построение различных отчётов в графическом виде. Это позволяет получать оперативные отчёты в любой момент времени, а также экспортировать отчётность в файлы формата PDF, XLS, CSV или TIF. Пример отчётности, созданной с помощью этого модуля, показан на рисунке 17.
Рисунок 17. Пример графических данных, полученных с помощью IT Analytics
На этом мы заканчиваем обзор комплексного DLP-решения корпоративного уровня Symantec Data Loss Prevention 12.5 и переходим к выводам.
Выводы
В сегодняшнем обзоре мы рассмотрели современную многокомпонентную систему защиты от утечек данных Symantec DLP 12.5, которая является продуктом корпоративного класса, и обеспечивает полную комплексную защиту данных в компании, имея в себе инструменты не только контроля перемещения информации, но и развертывания агентов, расширенной отчетности и взаимодействия с владельцами данных.
Достоинства: