EtherSensor и DLP

DLP (Data Loss Prevention/Data Leak Prevention) - класс решений для предотвращения утечек данных, контролирующих каналы передачи данных, применяются в России для контроля соблюдения политики информационной безопасности организации в части защиты чувствительной и конфиденциальной информации.

Главной задачей каждой DLP-системы является контроль каналов передачи данных, подавляющее большинство из которых использует интернет. Эта задача зачастую решается с помощью endpoint DLP клиентов, устанавливаемых на рабочие станции пользователей. При всех достоинствах endpoint подхода, имеются и очевидные недостатки: большая нагрузка на рабочие станции, конфликты с бизнес-приложениями и количественные трудности при администрировании.

EtherSensor пассивно анализирует сетевой трафик, извлекая такие объекты пользовательских и системных коммуникаций, как сообщения, файлы, сетевые события и их метаданные, не оказывая влияния на сетевую инфраструктуру организации.

При использовании EtherSensor совместно с DLP-системами исключается или значительно снижается нагрузка на рабочие станции пользователей за счет существенного сокращения выполняемых ими задач или даже полного отказа от endpoint DLP клиентов.

Конечно, следует понимать, что эти два подхода – “агентский” и “сетевой” не могут полностью заменить друг друга: далеко не на всякое устройство можно поставить endpoint DLP клиента, и в то же время, пассивный мониторинг трафика мало эффективен против средств коммуникации, использующих end-to-end шифрование.

Платформа перехвата и анализа сетевого трафика

Решаемые задачи

  • Извлечение из сетевого трафика в режиме реального времени:
    • сообщений, отправляемых/получаемых с использованием веб-почты, социальных сетей, и так далее с учетом возможностей функциональных лицензионных модулей;
    • файлов, отправляемых и загружаемых с использованием файлообменных сервисов, сервисов мгновенных сообщений, облачных сервисов и т.д.;
    • различных действий в интернет-сервисах;
  • Фильтрация заведомо неинтересных извлеченных событий;
  • Анализ и получение метаданных событий;
  • Отправка событий и их метаданных потребителям по различным протоколам в требуемом формате для дальнейшего анализа и хранения.
Зачем ETHERSENSOR, если установленная у нас DLP-система имеет свой анализатор сетевого трафика?
Скорее всего, EtherSensor делает это лучше, надежней, производительней, и имеет гораздо больше детекторов веб-сервисов.

Некоторые присутствующие на российском рынке DLP-системы для решения задачи перехвата и анализа сетевого трафика используют устаревшую (2008 г.) версию библиотеки PSSDK – основного компонента EtherSensor, разрабатываемой Microolap. Исходя только из одного этого можно судить, что это не является их основной задачей.

Команда экспертов Microolap, в свою очередь, много лет занимается задачей перехвата и анализа сетевого трафика, своевременно обновляет детекторы протоколов и разрабатывает новые детекторы согласно современным требованиям информационной безопасности.

Преимущества платформы EtherSensor

  1. Без агентов на рабочих станциях
  2. Высокая производительность позволяет использовать серийное оборудование, в том числе виртуальный сервер, с низкими системными требованиями для анализа больших потоков данных (гигабиты в секунду без потери пакетов)
  3. Много источников данных, много потребителей данных – один EtherSensor
  4. Простой и понятный интерфейс позволяет использовать EtherSensor “из коробки” без специальной подготовки
  5. Гибкая модульная система лицензирования
  6. Полностью отечественная разработка, доказавшая свою надежность годами безотказной работы