EtherSensor

EtherSensor – программная платформа для анализа сетевого трафика в режиме реального времени, которая распознает такие объекты пользовательских и системных коммуникаций, как сообщения, файлы и сетевые события.

Зарегистрирован в "Едином реестре российских программ для электронных вычислительных машин и баз данных" Минкомсвязи Российской Федерации за № 5034.

Платформа перехвата и анализа сетевого трафика

Решаемые задачи

  • Извлечение из сетевого трафика в режиме реального времени:
    • сообщений, отправляемых/получаемых с использованием веб-почты, социальных сетей, и так далее с учетом возможностей функциональных модулей;
    • файлов, отправляемых и загружаемых с использованием файлообменных сервисов, сервисов мгновенных сообщений, облачных сервисов и т.д.;
    • различных действий в интернет-сервисах;
  • Фильтрация заведомо неинтересных извлеченных событий;
  • Анализ и получение метаданных событий;
  • Отправка событий и их метаданных потребителям по различным протоколам в требуемом формате для дальнейшего анализа и хранения.

Более подробно о примерах применения EtherSensor в соответствующем разделе.

Принцип работы

  • Источники
  • 1Перехват
  • 2Анализ
  • 3Доставка
  • Потребители
Источниками данных для EtherSensor служат:
Сетевые интерфейсы сервера, на котором функционирует EtherSensor
Cетевые интерфейсы физического или виртуального сервера EtherSensor подключаются к Mirror-порту (SPAN, rx и tx пакеты) для прослушивания трафика с критичных устройств или целых сегментов сети. Аналогичным образом настраивается интеграция с решениями класса NGFW, способными расшифровывать SSL/TLS (PaloAlto Networks, FortiGate, и т.д.): копия расшифрованного SSL-трафика направляется на сетевой интерфейс EtherSensor для анализа.
ICAP-интеграция необходима в случае использования прокси-серверов, имеющих возможность расшифровки HTTPS-трафика и передачи результатов по ICAP в EtherSensor. В качестве таких клиентов может выступать Blue Coat SG, Cisco WSA, SQUID и т.д.
В некоторых случаях требуется иметь возможность проигрывания записанного ранее сетевого трафика. EtherSensor периодически опрашивает каталог на предмет появления новых PCAP-файлов с записанным трафиком. При обнаружении такие файлы немедленно обрабатываются и анализируются EtherSensor. Записать трафик в виде PCAP-файла можно при помощи утилит Microolap TCPDUMP for Windows, tcpdump или Wireshark.
Имеется возможность подключения к Lotus Notes Transaction Log для получения всех сообщений, проходящих через эту почтовую систему. Также производится обнаружение почтовых сообщений Lotus Notes в обрабатываемом трафике.
На сервер Microsoft Lync с ролью Edge устанавливается плагин, отправляющий копию переписки на сервер EtherSensor.
Перехват данных платформой EtherSensor

Работа платформы EtherSensor начинается с получения данных службой перехвата.

Полученные данные проходят предварительную фильтрацию с целью исключения заведомо неинтересного трафика.
Использование технологии Berkeley Packet Filter (BPF) позволяет быстро настроить фильтрацию лишнего трафика, предоставляя на анализ данные именно из тех сегментов сети, которые нужны пользователю EtherSensor.

После BPF-фильтрации служба перехвата производит сшивку сетевых сессий и фильтрацию по протоколу уровня приложения.

Результатом работы службы перехвата является паспорт сообщения, файла или события, обнаруженного в потоке сетевого трафика. Данный объект по результатам обработки службы перехвата имеет информацию об отправителе, получателе, используемом протоколе уровня приложения, количестве и размерах объектов.

Анализ данных платформой EtherSensor

После обработки сетевого трафика служба перехвата передает объект паспорта в службу анализа, которая производит идентификацию сервиса, используемого для передачи данных. Затем служба анализа производит извлечение отправляемого сообщения, файла или события. Полученная на основании анализа информация записывается в объект паспорта, который проходит по созданной пользователем EtherSensor политике анализа.

В конфигураторе EtherSensor разработан дружеский графический инструмент для построения политики, не требующий специальной подготовки пользователя. Политика анализа строится по принципу таблиц проверок, аналогичным по логике правилам утилиты iptables.

Фильтрация производится по таким критериям, как протокол (уровня приложения и конкретного сервиса), отправитель и получатели (на уровне сети и на уровне конкретного сервиса), вложения, текст и многим другим. По результатам проверок критериев в политике анализа назначаются действия над анализируемым объектом, одним из которых является назначение транспортного профиля для отправки одному или нескольким потребителям в том или ином виде.

Для возможности построения тонкой политики анализа предусмотрена возможность объединения проверок логическими операторами «И», «ИЛИ», «Исключающее ИЛИ» и «НЕ».

В конце обработки наступает момент принятия решения: какому потребителю в каком виде отправлять объект, его метаданные или выборочную информацию, либо не выполнять никаких действий и забыть объект.

Отправка событий потребителям платформой EtherSensor

Служба транспортировки EtherSensor обеспечивает отправку сообщений, метаданных и событий потребителям.
Служба транспортировки оперирует транспортными профилями, которые включают в себя информацию о потребителе и формате отправляемых данных. Существуют транспортные профили следующих типов:

SMTP/S
Предназначен для отправки обработанных данных в виде почтового сообщения по протоколу SMTP/S.
Данный тип транспортного профиля идеально подходит для формирования почтового архива переписки работников, в том числе для сохранения сообщений, отправленных/полученных с использованием сервисов веб-почты.
FTP/S
Предназначен для сохранения извлеченных сообщений и других событий на FTP-сервер по протоколам FTP, FTPS или SFTP.
FILEDROP
Предназначен для сохранения извлеченных сообщений и других событий на файловой системе.
IMAP/S
Предназначен для отправки извлеченных сообщений и других событий в виде почтового сообщения по протоколу IMAP/S.
SMB
Предназначен для сохранения извлеченных сообщений и других событий на файловом хранилище по протоколу SMB.
AMQP
Предназначен для отправки обработанных данных и их метаданных по протоколу AMQP системе-потребителю напрямую или через брокер сообщений.
Syslog
Предназначен для отправки структурированных данных по протоколу Syslog; данный тип транспортного профиля идеально подходит для отправки событий в SIEM-системы; предусмотрено свободное формирование отправляемой строки из набора макропеременных объекта, что существенно облегчает написание коннекторов на принимающей стороне.
DEVICELOCK
Предназначен для отправки обработанных данных и их метаданных в DeviceLock DLP Suite — современное DLP-решение для защиты данных и контроля перемещения конфиденциальной информации за пределы компании, а также защиты предприятия от внутренних угроз.
INFOWATCH
Предназначен для отправки сообщений в INFOWATCH TRAFFIC MONITOR ENTERPRISE – современное DLP-решение для защиты данных и контроля перемещения конфиденциальной информации за пределы компании, а также защиты предприятия от внутренних угроз.
FALCONGAZE
Предназначен для отправки сообщений в FalconGaze SecureTower – современное DLP-решение для защиты данных и контроля перемещения конфиденциальной информации за пределы компании, а также защиты предприятия от внутренних угроз.

Типы транспортных профилей FTP/S, FILEDROP и SMB, помимо стандартных опций, предусматривают возможность задать собственный формат сохранения: только объект паспорта, в виде EML-сообщения, в виде ZIP-архива с указанной степенью сжатия, сохранение метаданных.

Каждый тип транспортного профиля учитывает особенности используемого протокола и содержит соответствующие настройки, значительно упрощающие интеграцию с потребителями.

Для снижения нагрузки на серверы систем-потребителей имеется возможность настроить балансировку отправляемых событий путем объединения транспортных профилей в групповой профиль с указанием весов каждого из них.

Потребителями контента платформы EtherSensor являются системы:
  • DLP – основной задачей любой DLP-системы является контроль информационных каналов, а возможности EtherSensor покрывают большинство из них, отвечая за сбор метаданных и проведение при этом значительной часть анализа. Примеры DLP-систем, являющихся потребителями контента платформы EtherSensor:
    • DeviceLock DLP Suite;
    • INFOWATCH TRAFFIC MONITOR ENTERPRISE;
    • FalconGaze SecureTower;
    • Solar Dozor (старое название – “Дозор-Джет”);
    • Symantec DLP;
  • SIEM – гибкая политика позволяет легко передавать интересующие события в SIEM-системы по протоколу Syslog в необходимом формате, что позволяет использовать SIEM-системы в качестве единого центра информационной безопасности;
  • Enterprise Archiving и e-Discovery, такие как Enterprise Search, Архивариус 3000, dtSearch;
  • Anomaly Detection, такие как SQLStream, Prelert, Twitter Anomaly Detection.

Модули

Функции EtherSensor сгруппированы по модульной схеме, что позволяет решать задачи, также группируя их согласно политикам безопасности Заказчика.

Модули, которые использует платформа сегодня, проверены десятками внедрений в крупнейших компаниях и миллионами терабайт проанализированного трафика.

«Веб-почта»

Выделение из трафика методом пассивного перехвата исходящих сообщений служб веб-почты: Mail.RU, Yandex.RU, Pochta.RU, GMail и т.п. (40+ доменов), а также сервисов на популярных webmail-движках.

«Социальные сети»

Выделение из трафика методом пассивного перехвата сообщений разных типов (авторизация, сообщения, комментарии и т.п.) в социальных сетях и на форумах: Facebook, LinkedIn, Vk.com, Odnoklassniki, Mamba.ru, phpbb, ipb, vbulletin, mybb, а также SMS/MMS-сообщения пользователей, отправляемые через специализированные веб-сервисы (500+ доменов).

«Email»

Выделение из трафика методом пассивного перехвата сообщений электронной почты, передаваемых по протоколам SMTP, POP3 и IMAP4.

«ICAP-сервер»

Позволяет использовать в качестве источника трафика для выделения сообщений HTTP-трафик, извлеченный из HTTPS-трафика и поставляемый по протоколу ICAP внешними системами: SQUID, BlueCoat SG, Cisco WSA, Webwasher, Websense, FortiGate и т.п.

«Сервер Агентов EtherSensor»

Служит для идентификации пользователей и их привязке к перехваченным сообщениям. Например, при работе пользователей через терминальный сервер.

«Передача файлов»

Выделение из трафика методом пассивного перехвата файлов, передаваемых по протоколам HTTP, FTP, SMB/CIFS и WebDAV.

«Мгновенные сообщения»

Выделение из трафика методом пассивного перехвата сообщений, отправляемых и получаемых через службы мгновенных сообщений, работающие по протоколам IRC, MSN, XMPP/Jabber, MRA, YAHOO и OSCAR (ICQ, Skype, Google Hangout, Mail.ru Агент и т.п.).

«Чтение входящей веб-почты»

Выделение из трафика методом пассивного перехвата входящих сообщений служб веб-почты: Mail.RU, Yandex.RU, Pochta.RU, GMail и т.п.(40+ доменов), а также сервисов на популярных webmail-движках.

«Поиск работы»

Выделение из трафика методом пассивного перехвата сообщений, вакансий, откликов и других событий сервисов вакансий и поиска работы, таких как HH.ru, SuperJob.ru, Job.ru и т.п. (150+ доменов).

«Lotus Notes»

Выделение из трафика методом пассивного перехвата сообщений системы Lotus Notes (сейчас IBM Notes). В том случае, если применяется шифрование трафика, сообщения могут извлекаться из Lotus Notes Transaction Log (данный метод никак не влияет на работу Lotus Notes).

В случае получения сообщений, дешифрованных прокси-сервером и направляемых в EtherSensor по протоколу ICAP, необходимо дополнительно с имеющимся набором модулей использовать модуль «ICAP-сервер».

Преимущества платформы EtherSensor

  1. Без агентов на рабочих станциях
  2. Высокая производительность позволяет использовать серийное оборудование, в том числе виртуальный сервер, с низкими системными требованиями для анализа больших потоков данных (гигабиты в секунду без потери пакетов)
  3. Много источников данных, много потребителей данных – один EtherSensor
  4. Простой и понятный интерфейс позволяет использовать EtherSensor “из коробки” без специальной подготовки
  5. Полностью отечественная разработка, доказавшая свою надежность годами безотказной работы