Какое негативное влияние на КСПД может оказать DLP-система?

Question

[Alex Suvoroff]

Доброго времени суток!
На предприятии собираются внедрять одну из DLP-систем: InfoWatch, Searchinform.
Интересует следующий момент: какие возможные варианты развития негативных событий для корпоративной сети, или
пользователей, у которых установлен агент dlp, могут быть?
Если у кого-то был опыт, отпишитесь пожалуйста хотя бы в двух словах что, где и как произошло.

В настоящее время проводится тестирование собственными силами отдела защиты информации поэтому тонкой настройки системы никто не проводил, мониторится все, что было в тестовых модулях системы. Стоят клиенты на компьютерах пользователей и есть сервер, который мониторит трафик, может еще что-то есть.

В день, когда отдел ЗИ начал устанавливать агентов по сети на компьютеры пользователей, почти лег канал связи между офисами + некоторые пользователи жаловались на низкую производительность системы - это было замечено мной (возможно эти события никак не связаны между собой, но все же момент неприятный)

Answer 1

[res2001]

Разворачивал DLP от McAfee, никаких тормозов не замечено, все прошло гладко. Не знаю как в InfoWatch все устроено, но у McAfee есть понятие супер-агент - это агент, у которого есть локальный репозиторий пакетов. В каждом удаленном офисе у меня развернут 1 супер-агент, остальные компы в той сети обновляются с него. Поэтому особого трафика между офиса не генерируется, к тому же пакеты по супер-агентам можно раскидать заблаговременно.
Если в сети ранее действовали административные правила, запрещающие пользователям использовать внешние устройства хранения (флэшки, CD/DVD RW и т.п.), то пользователи не заметят, что у них появилась DLP. У меня до DLP как раз были подобные регламенты + в биосе отключали USB где было возможно, CD/DVD девайсов физически вообще нигде не было, кроме админов.
Сейчас DLP работает уже несколько лет, большой нагрузки на сеть не замечено. В политиках DLP заблокированы внешние устройства хранения, кроме особо привилегированных сотрудников.
Вообще разворачивать программные продукты в сети должны админы, т.к. это их прямая обязанность, а вот тонкую настройку уже могут проводить сотрудники ЗИ, если есть квалифицированные кадры. Да и то я бы им и это не доверил - DLP это еще что, вот если бы они персональный фаервол разворачивали, например, при неправильном предварительном конфигурировании можно вообще всю сеть колом поставить. У меня безопасники скидывают нам требования к защите, мы их реализовываем, а они потом тестируют на соответствие реализации требованиям. Админского доступа к DLP и тому подобным антивирусам они не имеют - могут только смотреть настройки и получать отчеты.

Comments

[Alex Suvoroff]

Хорошо, я Вас понял. Вся проблема в том, что у нашего руководства и руководства безопасников ХОЛИВАР. Но это наверное больше на почве того, что раньше никаких DLP не было, никаких ограничений на носители или диски + руководство ИТ за счет доступа админов просматривало нужную им информацию, но тут в безопасники ушел обиженный админ, сменился ГД и тут понеслась. Теперь мое руководство всеми правдами не правдами старается заблокировать применение таких систем, противоположная сторона жаждит тотального контроля. Спасибо что ответили.

Answer 2

[CityCat4]

Нормальный СМП - это маленькая, тихая, незаметная вещь - сидит в памяти компа и стучит куда надо и когда надо. Не знаю, как Searchinform - он в свое время меня ну совсем не впечатлил, но при развертывании Стахановца никто ничего не замечает.
Не должен он оказывать никакого влияния на сеть. Если же он его оказывает - это неправильный СМП :)

Comments

[Alex Suvoroff]

ну ясное дело, что хороший шпион - незаметный шпион) Но хотелось бы ждать, каких проблем можно ожидать от таких систем. Предупрежден - значит вооружен!

[CityCat4]

Alex Lukyanoff: Стахановец не создает никаких проблем :) Хотя недоработки у него конечно есть...

[Alex Suvoroff]

CityCat4: какого плана недоработки, если не секрет?

[CityCat4]

Alex Lukyanoff: Ну, например, они так и не решили вопрос - как обнаружить в сети комп, на котором нет агента. Вот собрали админы новый комп, включили, он работает. Как ИБ узнает, что он есть? Мне пришлось скрипт на VBS наваять, чтобы сканить сетевое окружение. Второй момент с шифрованной почтой - сколько ни хаваю им моск, никак не могут сделать, чтобы читалась не только в оутлуке

Answer 3

[labyrinth]

Если говорить про агентскую реализацию, то нагрузка на канал напрямую зависит от настроек. Могу пояснить на примере Searchinform. Агенты собирают информацию, шифруют её, складывают в определённую папку, а затем пересылают на сервер для анализа. Соответственно, если сервер в головном офисе, а передаём на него со всех городов и весей, то можем напороться на слишком узкий канал между регионом и головой. В админке есть родительская настройка "максимальная скорость передачи данных", которая разлетается на все агенты. Может оказаться так, что для головного офиса 5 мегабит приемлемо, а для региона всё ляжет. Поэтому предусмотрена возможность изменения родительских настроек вплоть до отдельно взятой машины. Если этого не сделали, то вот она, проблема.

Ещё на количество передаваемых данных влияет то, насколько плотный мониторинг установлен. К примеру, модуль, отвечающий за снятие скриншотов рабочих столов. В нём есть настройки количество снимков. Можно поставить раз в минуту, а можно раз в 5 секунд. Почувствуйте разницу. Или модуль, отвечающий за контроль подключаемых устройств. При определённых настройках он может снимать теневые копии со всего, что пишется на устройство (флешку, винчестер и т.п.). Если не сделать настроек, то всасывать будет всё подряд (например, когда сотрудник из корпоративной файлопомойки пишет себе пару фильмов домой). Настройками же можно указать, какие форматы копировать, а какие игнорировать. Или наоборот: снимать теневую копию со всего кроме указанных (и указать весь "тяжёлый" медиаконтент).

Comments

[Alex Suvoroff]

Спасибо за ответ! В принципе что-то подобное и предполагалось