Обзор открытой системы контроля за данными MyDLP

    Маленькое лирическое вступление.

    По моему скромному опыту. Люди занимающиеся в ИТ безопасностью данных, делятся (помимо прочего) на две большие группы. С хорошим финансированием своей деятельности и не очень. Я имею в виду, прежде всего техническое оснащение и специализированное программное обеспечение.
    В контексте контроля слива данных от внутренних нарушителей – инсайдеров, ситуация выглядит примерно следующим образом. Имеются специализированные системы контроля данных, Data Leak Prevention системы. Бизнес хочет защитить данные, но когда видит ценник в несколько миллионов для обеспечения такой защиты, энтузиазм резко гаснет.
    Еще больше он гаснет, когда выясняется, что 100% надежного контроля данных система обеспечить не может. Умный пользователь сумеет обмануть систему. Бизнес вопрошает: «За что плотим, то тогда? Давай ка батенька, крутись как хочешь, но чтоб и овцы были целы и волки сыты.»
    В результате ИТ безопасник с силовыми корнями, выпускает кучу запретительных бумаг, проникновенно грозит народу кулачищем, мол только попробуйте слить. А безопасник технарь, вчерашний админ, начинает изобретать велосипед с квадратными колесами с целью, хоть как-то контролировать информацию. (А сочетание обоих подходов, вообще хорошо :)
    Об одной системе, которую можно встроить в велосипед, речь и пойдет.

    Среди открытых решений контроля над данными мне попалось только два.
    Это OpenDLP и MyDLP.
    Из них MyDLP показалось более зрелым и функционально продвинутым.

    MyDLP, открытое программное обеспечение предотвращения (контроля) утечек данных. Существует 2 лицензии использования. Бесплатная Community и платная Enterprise. Принципиальная разница между ними в Архивации передаваемых данных.
    Если идет сработка на защищаемый файл, то Community, только вывесит Алерт на событие. Enterprise еще и сохранит копию файла.

    Итак, идем на сайт www.mydlp.com и забираем 2 файла.
    Серверную часть – ISO образ.
    Агентскую часть – msi файл.

    Установка серверной части.
    Сервер построен на дружелюбной Убунте. Вставляем диск, Некст-Некст-Ребут. Серверная часть готова. Это действительно так :)
    Назначаем серверу ip адрес и выпускаем его в интернет (это необходимо для обновлений и проверки лицензии).
    В случае затруднений с установкой, инструкция там же на сайте.
    www.mydlp.com/documents

    Далее открываем любой браузер и заходим на наш сервер.
    Видим симпатичное окно.

    Теперь нам надо перейти по ссылке на secure.mydlp.com и получить Community лицензию.
    Там тоже все очевидно.
    После регистрации (сервер лезет в интернет, для проверки лицензии!), вводим дефолтные Логин и Пароль.
    login:mydlp pass:mydlp



    И мы в серверной части.
    Чтобы контролировать Почту и Веб трафик, нужно дополнительно настроить сервер шлюзом к вашим proxy и smtp серверам. Я данную функцию не тестировал, но о ней также подробно написано в документации.

    Установка Агента.
    Берем инсталлятор агента размером 88 Мб mydlp_0_9_104.msi и устанавливаем.
    Большой размер инсталлятора объясняется тем, что включает в себя окружения Erlang, Java, cygwin и собственно сами компоненты программы, общий размер каталога агента после установки составит около 200 мб.
    В процессе установки, инсталлятор задаст только 1 вопрос, какой адрес у сервера. После этого процесс инсталляции собственно и завершается.

    Инсталятор можно распространить и через групповые политики, адрес сервера в этом случае забивают с помощью батничка по пути

    [HKEY_LOCAL_MACHINE\SOFTWARE\MyDLP]
    «ManagementServer»=«MYDLP_SERVER».

    Обзор серверной части системы.
    Возвращаемся к серверу.
    В системе 7 закладок:Dashboard, Policy, Objects, Options, Logs, Endpoints, Revision.
    Из них первая и последняя особого интереса не представляют. Панель часто используемых задач и версия системы.

    Остальные более интересны…
    +Policy


    Здесь у нас формируются правила контроля данных.
    Слева источники данных и ключевые объекты контроля. Справа сами правила. Сейчас их три.

    +Objects
    Здесь можно посмотреть готовые предопределенные типы данных (документы Word,Excel и тд), создать свои.


    +Options
    Различные настройки интервала опроса агентов, определение пользователей на доступ к серверной части. Здесь единственное, на чем заострю внимание, это на необходимости поставить галочку Print Monitor, для глобального включения контроля принтеров.
    Остальное можно не трогать.


    +Logs
    Собственно, то для чего все это затевалось. Лог мониторинга защищаемых данных.

    Можно фильтровать по дате, юзеру, правилам, ip и тд.

    +Endpoints
    Список агентов онлайн и оффлайн.


    Обзор агентской части.
    Немаленький агент устанавливается жестко в Program Files в каталог MyDLP. Путь поменять нельзя. Внутри каталога можно видеть компоненты java, erlang и cygwin. Так-же инсталлируются 3 службы и 1 драйвер.
    Похоже отслеживается типичный опенсорс подход, 1 компонент – 1 задача. :)
    При первом запуске, агент сканирует установленные принтеры, и создает их виртуальные дубли. Ничуть не смущаясь, называя их по следующему принципу — (MyDlp)название_Вашего_принтера. Наивно ставит один из дублей принтером по умолчанию.

    Потребляют все компоненты в сумме около 50 мегабайт оперативки, в злостном пожирании процессора замечены не были.
    Для контроля принтеров под XP, дополнительно нужно выполнить хитрый батничек (лежит на сайте).
    Под семеркой и так все работает.

    Настройка серверной части.
    Итак, в разделе Policy нажав на кнопку Add Rule, мы можем выбрать из 5 типов контролируемых каналов.


    Web и Почта заработает если, как я писал выше, сервер будет шлюзом для этих каналов.
    Endpoint Rule – это контроль съемных устройств и перемещение защищаемых данных на них (данные получаются с агентской части).
    Printer Rule –контроль печати (данные получаются с агентской части).
    Discovery, перемещение защищаемых данных внутри локальной сети.

    Выбрав канал контроля, нужно назвать новое правило уникальным именем и оно появится в общем списке.
    На скриншоте выше у меня 2 правила для контроля съемных носителей и одно правило принтеров.
    В каждом правиле нужно определить Источник контроля (Source) и тип Данных для контроля (файлы и содержимое).
    Источники и Типы данных у нас описаны левой части, просто перетаскиваем их мышкой на наши правила.
    Во всех 3 правилах Источник у меня один – вся сеть. Это значит собирать события со всех агентов независимо от их ip адреса.



    Тип данных описывает данные для контроля. Можно фильтровать как по типу, так и вставлять регулярные выражения для поиска по содержимому.



    И последнее, доступные действия, при срабатывании правила: Pass – пропустить, Block – заблокировать, Log – записать в лог. Функция Archive – создание теневой копии не доступна.

    В моем случае 2 последних правила логируют все события без разбора, вывод на печать и копирование на флешку любого файла. Это правила Printer и Remote_drive.
    Первое же правило выбрасывает алерт, только если в файле, скопированном на флешку, есть ключевое слово (слова). Это правило Secret_keywords.
    Чтобы правила подхватили все агенты, нажимаем на большую кнопку Install Policy в правом верхнем углу.


    Тестирование системы.
    Упор сделал на интересующей меня части, а именно контроль принтеров и съемных носителей.

    Что можно сказать.
    Контроль принтеров смотрится, просто никаким. Обход элементарный. Пользователю достаточно выбрать принтер оригинал, а не дубль, и агент ничего не увидит. Более того, агент не видит новые принтеры, установленные после его запуска.


    А так все работает, отправляем на виртуальный принтер документ – видим запись в логе.

    По съёмным носителям ситуация лучше.
    Набиваем ключевые слова в правило Secret_keywords, можно использовать регулярные выражения. В лог начинают сыпаться файлы, в которых эти слова встречаются. Все остальное заливается в лог с пометкой правила Remote_drive.
    Русские слова парсятся нормально, цифры и латиница и подавно.


    Соответственно можно сделать группы правил по типу.
    Банковские данные, Бухгалтерия, Резюме, Научка и тд, в каждой свои ключевики. Тогда можно видеть, какой примерно тематики ходят файлы по флешкам юзеров.

    Итог
    Конечно система еще сыровата, вываливаются мелкие косячки. Однако по возникающим вопросам можно обратится к сообществу, а то и самому порыться в исходничках и серверной части. Думаю после доработки напильником, система вполне юзабельна.

    ps. Пользуясь случаем, хочу попросить Хабраюзеров поделится практическим опытом использования и внедрения коммерческих DLP решений. На сайте вендоров, как обычно, одна рекламма. Про косяки и трудности никто не расскажет.
    Share post
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 10

      0
      Ценно! Под вечер начальство озадачило. А тут прямо в тему. Спасибо. :-)
        +2
        даже вот залогинился, чтоб коммент оставить)

        когда где-то заходит речь про информационную безопасность, тёмную сторону силы, могущество великого ЛИНУКСА и прочие печеньки, я всегда сразу цитирую эту цитату. у меня она прям в закладках сохранена.

        О корпоративной секьюрности.
        Вспомнил одну идиотскую работу, которую мне как то пришлось выполнить. Клиент просил потестировать систему безопасности и работу егойных админов. Моя задача, с правами рядового сотрудника, вынести за пределы офиса информацию содержащуюся в текстовом файле. Да, по работе у «сотрудника» доступ к этому файлу есть. Админы тамошние «безопасность» типа настроили. USB заблокированы, сидиромов — нет, трафик просматривается на предмет наличия таких документов и т.п.

        Попытка 1
        Файл сохраняется на корпоративный веб сервак, который стоит внутри конторы и торчит наружу.
        Ну чё, закрыли они такую фишку.

        Попытка 2
        Мощный снифер ловит все пакеты и просматривает в них наличие документов doc, rtf и ещё пары сотен. Причем не только по имени, но и по структуре. Файлик сохраненный в картинку, зазипованый и переименованый в bin (а ещё я первые два байта отрезал =) ) — не поймал.

        Попытка 3
        Инет вырублен нахуй. Открываю корпус, сбрасываю биос, USB включается. Списываю на флешку — ухожу.

        Попытка 4
        На корпусе — замочек, USB залиты пластиком. Здоровой отвёрткой тупо выламываю замок (задачи скрыть следы небыло), снимаю винт — ухожу.

        Попытка 5
        Тонкий клиент (бездисковая терминальная станция). Коннектится на сервак и оттуда типа работаем. Открываю файл, фотографирую на телефон (3Мп вполне хватает). OCR. Готово.

        Собственно к чему это я? Да к тому, что только техническими средствами хер вы добьётесь нормальной безопасности, особенно изнутри. Сначала должны быть приняты административные меры, и только потом — технические.

        удачи, поцоны, в етих ваших DLP системах)))
          0
          Что-то подобное недавно объяснял руководству. Как бы они не крутили гайки — все равно человеческий фактор не исключишь. Все сводится к тому, что по незнанию люди не скроют запрещенную активность, и к тому, чтобы как можно больше усложнить процесс кражи информации.
          0
          Извините, вы не могли бы ткнуть меня носом, откуда файлы забирать?
          Никак не могу найти =)
          0
          Вы как-то решали проблему с кириллическими именами файлов в логах MyDLP?
            0
            Посмотрел, есть такая хрень. Думаю трабла в кодировкаях на уровне сервера. Можно покопать в сторону выставления кодировок Апача и посмотреть, что пишется в базе MySql.
            В агентской части думаю проблем нет, поскольку агент отображает в локальном логе имена нормально. (текстовый лог в папке агента).
            Более подробно проблему пока не имею возможности изучить.
            В принципе можно не копаться, а задать вопрос разработчикам системы на почту или на форуме.
              +1
              Там очень интересно намутили.
              Если подключаться к демону mysql, то базы mydlp в списке нет, однако ее каталог на диске есть. Не помню после какой комбинации, я ее все-таки смог увидеть. Однако после того, как я в нее посмотрел, веб-интерфейс отказался запускаться. Судя по всему, это такой контроль целостности.
              Мне кажется, все-таки, неверно выставлена кодировка таблиц, да и все.
              Однако разработчики клянутся, что изобретать костыли уже не надо, так как проблему пофиксили и буквально на днях выйдет апдейт =)

              www.mydlp.com/forum/viewtopic.php?f=10&t=241
            0
            Хоть бы логотип свой придумали. Спёрли у Falcongaze. Хоть бы видео своё придумали, да вот тоже спёрли.

            Only users with full accounts can post comments. Log in, please.