Top menu

DeviceLock EtherSensor - серверный мониторинг и анализ сетевого трафика

Серверный модуль DeviceLock EtherSensor, автономный продукт в составе программного комплекса DeviceLock DLP Suite, позволяет организациям обеспечить всеобъемлющий мониторинг сетевого трафика, работая при этом на серийном серверном оборудовании или в виртуальной среде на ОС Windows с низкими системными требованиями для анализа больших потоков данных (гигабиты в секунду без потери пакетов).

Схема гибридной DLP-системы DeviceLock DLP с сервером DeviceLock EtherSensor

Сервер EtherSensor позволяет протоколировать сетевые события и передаваемые по сети сообщения и файлы, не задействуя при этом агенты DeviceLock, в целях контроля использования внутрикорпоративной и внешней электронной почты (включая входящую почту), веб-почты, социальных сетей, широкого ряда мессенджеров, сервисов поиска работы, форумов и блогов. Также перехватываются и протоколируются передача файлов по протоколам HTTP, FTP и в облачные хранилища. Перехваченные данные сохраняются в базе данных в DeviceLock DLP для последующего хранения и анализа, включая возможности полнотекстового поиска с помощью DeviceLock Search Server.

Создание гибридного DLP-решения с помощью EtherSensor и endpoint-компонентов DeviceLock DLP

Совместное использование агентов DeviceLock DLP, обеспечивающих полнофункциональный DLP-контроль рабочих станций, и сервера перехвата и анализа сетевого трафика DeviceLock EtherSensor, позволяет построить уникальную гибридную DLP-систему в организации любого масштаба. Благодаря сочетанию двух различных DLP-архитектур (сетевой и агентской) для контроля сетевого трафика службы информационной безопасности получают возможность обеспечить DLP-контроль корпоративной информации в различных сценариях, создавая гибкие DLP-политики с различными уровнями контроля и реакции на события, повысить надежность DLP-системы при решении задачи предотвращения и выявления утечек информации. Единая база данных событийного протоколирования и теневого копирования, наполняемая событиями и данными, полученными при перехвате трафика с уровня сети и в результате контроля сетевых коммуникаций и устройств на рабочих станциях, позволяет выявлять инциденты информационной безопасности для широчайшего спектра потенциальных каналов утечки данных.

Просмотр результата перехвата Lync-сообщения сервером DeviceLock EtherSensor

Гибридная DLP-система эффективно решает сразу несколько проблем и задач, стоящих перед службами информационной безопасности – мониторинга сетевого трафика с компьютеров и мобильных устройств, на которых по техническим причинам невозможно установить или эксплуатировать DLP-агент, либо снижения нагрузки на рабочие станции пользователей за счет раздельного контроля различных сетевых сервисов и протоколов на разных уровнях. Автоматическое переключение различных комбинаций DLP-политик для контроля сетевого трафика в агенте DeviceLock DLP в зависимости от наличия подключения к корпоративной сети и/или корпоративным серверам позволяет обеспечить чрезвычайно гибкий контроль пользователей, когда, например, на уровне агента при нахождении лэптопа в офисе сохраняется контроль устройств, принтеров и особо критичных сетевых приложений и сервисов, в том числе с применением контентной фильтрации в режиме реального времени, а контроль и инспекция других сетевых протоколов и сервисов возлагается на модуль EtherSensor.

Как работает сервер DeviceLock EtherSensor

Сервер DeviceLock EtherSensor выполняет три задачи:

  • пассивный перехват сетевого трафика канального уровня;
  • анализ перехваченного (зеркалированного) трафика для извлечения из него полезных объектов уровня приложения (объекты, их контент, события и т.д.);
  • сохранение результатов анализа в базе данных сервера DeviceLock Enterprise Server. EtherSensor функционирует без использования агентов DeviceLock, устанавливаемых на рабочих станциях для реализации других функций DLP-контроля. Высокая производительность EtherSensor позволяет использовать серийное серверное оборудование или среду виртуализации для анализа больших потоков данных (гигабиты в секунду без потери пакетов) при достаточно низких системных требованиях. EtherSensor работает в пассивном режиме получения сетевого трафика, следовательно, никак не воздействует на сетевую инфраструктуру и не требует ее изменения, кроме необходимости отведения копии сетевого трафика с помощью зеркалирования трафика или сетевого ответвителя на EtherSensor.

Источники данных для EtherSensor:

  1. Cетевые интерфейсы физического или виртуального сервера EtherSensor подключаются к Mirror-порту (SPAN, rx и tx пакеты) для прослушивания трафика с критичных устройств или целых сегментов сети. Аналогично настраивается интеграция с решениями класса NGFW, способными расшифровывать SSL/TLS (PaloAlto Networks, FortiGate, и т.д.), когда копия расшифрованного SSL-трафика направляется на сетевой интерфейс EtherSensor для анализа.
  2. Прокси-серверы при условии ICAP-интеграции, имеющие возможность расшифровки HTTPS-трафика и передачи результатов по ICAP в EtherSensor (Blue Coat SG, Cisco WSA, SQUID и т.д).
  3. PCAP-файлы на файловой системе. EtherSensor периодически опрашивает каталог на предмет появления новых PCAP-файлов с записанным трафиком. При обнаружении такие файлы немедленно обрабатываются и анализируются EtherSensor.
  4. Lotus Notes Transaction Log для получения всех сообщений, проходящих через почтовую систему IBM (Lotus) Notes. Также производится обнаружение почтовых сообщений Lotus Notes в обрабатываемом трафике.
  5. Плагин для сервера Microsoft Skype for Business (Lync) с ролью Edge, отправляющий копию переписки на сервер EtherSensor.

Сервер EtherSensor реконструирует и анализирует объекты трафика, начиная с уровня 2 модели OSI и до уровня 7 – объекты, специфические для определённого приложения, пользователя и Интернет-сервиса, при этом число поддерживаемых сервисов превышает несколько тысяч. Для решения задачи анализа SSL/TLS трафика EtherSensor интегрируется с любыми сторонними решениями, имеющими функцию расшифровки SSL. Кроме того, встроенный ICAP-сервер позволяет серверу EtherSensor взаимодействовать с ICAP-клиентами, обрабатывающими HTTPS-трафик. Помимо этого, для решения задачи вскрытия SSL/TLS методом MITM может использоваться дополнительный программный продукт SSLSplitter.

Полученные в результате перехвата данные проходят предварительную фильтрацию с целью исключения заведомо неинтересного или мусорного трафика с использованием технологии Berkeley Packet Filter (BPF), которая позволяет предоставлять для дальнейшего анализа данные именно из тех сегментов сети, которые востребованы службой ИБ.

Сетевые коммуникации, контролируемые DeviceLock EtherSensor

Социальные сети: выделение из трафика методом пассивного перехвата сообщений разных типов (авторизация, сообщения, комментарии и т.п.) в социальных сетях и на форумах: Facebook, LinkedIn, Vk.com, Odnoklassniki, Mamba.ru, phpbb, ipb, vbulletin, mybb, а также SMS/MMS-сообщения пользователей, отправляемые через специализированные веб-сервисы (500+ доменов).

Электронная почта: выделение из трафика методом пассивного перехвата сообщений электронной почты, передаваемых по протоколам SMTP, POP3 и IMAP4.

Протоколы и службы передачи файлов: выделение из трафика методом пассивного перехвата файлов, передаваемых по протоколам HTTP, FTP, SMB/CIFS и WebDAV.

Сервисы мгновенных сообщений: выделение из трафика методом пассивного перехвата сообщений, отправляемых и получаемых через службы мгновенных сообщений, такие как Skype (включая MS Lync/Skype for Business), ICQ, Google Hangout, Mail.ru Агент и прочие сервисы, работающие по протоколам IRC, MSN, XMPP/Jabber, Yahoo и OSCAR.

Входящая и исходящая веб-почта: выделение из трафика методом пассивного перехвата входящих и исходящих сообщений служб веб-почты: Mail.RU, Yandex.RU, Pochta.RU, GMail и т.п.(40+ доменов), а также сервисов на популярных webmail-движках.

Сервисы поиска работы: выделение из трафика методом пассивного перехвата сообщений, вакансий, откликов и других событий сервисов вакансий и поиска работы, таких как HH.ru, SuperJob.ru, Job.ru и т.п. (150+ доменов).

Почтовая служба IBM (Lotus) Notes: выделение из трафика методом пассивного перехвата сообщений системы Lotus Notes (сейчас IBM Notes). В том случае, если применяется шифрование трафика, сообщения могут извлекаться из Lotus Notes Transaction Log (данный метод никак не влияет на работу Lotus Notes).

Результат перехвата Facebook-сообщения сервером DeviceLock EtherSensor

В комплект поставки модуля DeviceLock EtherSensor также входит программное решение EtherStat, предназначенное для анализа сетевой статистики, полученной от сервера EtherSensor. EtherStat позволяет строить отчеты различной сложности о сетевых событиях с использованием фильтров в ручном и автоматическом режимах, объединяя полученную от EtherSensor статистику с информацией о пользователях EtherStat и их устройствах, участвующих в сетевых соединениях.