EtherSensor

EtherSensor – программная платформа для анализа сетевого трафика в режиме реального времени, которая распознает такие объекты пользовательских и системных коммуникаций, как сообщения, файлы и сетевые события.
Платформа перехвата и анализа сетевого трафика

Решаемые задачи

  • Извлечение из сетевого трафика в режиме реального времени:
    • сообщений, отправляемых/получаемых с использованием веб-почты, социальных сетей, и так далее с учетом возможностей функциональных модулей;
    • файлов, отправляемых и загружаемых с использованием файлообменных сервисов, сервисов мгновенных сообщений, облачных сервисов и т.д.;
    • различных действий в интернет-сервисах;
  • Фильтрация заведомо неинтересных извлеченных событий;
  • Анализ и получение метаданных событий;
  • Отправка событий и их метаданных потребителям по различным протоколам в требуемом формате для дальнейшего анализа и хранения.
Более подробно о примерах применения EtherSensor в соответствующем разделе.

Принцип работы

  • Источники
  • 1Перехват
  • 2Анализ
  • 3Доставка
  • Потребители
Источниками данных для EtherSensor служат:
Сетевые интерфейсы сервера, на котором функционирует EtherSensor
Cетевые интерфейсы физического или виртуального сервера EtherSensor подключаются к Mirror-порту (SPAN, rx и tx пакеты) для прослушивания трафика с критичных устройств или целых сегментов сети. Аналогичным образом настраивается интеграция с решениями класса NGFW, способными расшифровывать SSL/TLS (PaloAlto Networks, FortiGate, и т.д.): копия расшифрованного SSL-трафика направляется на сетевой интерфейс EtherSensor для анализа.
ICAP-интеграция необходима в случае использования прокси-серверов, имеющих возможность расшифровки HTTPS-трафика и передачи результатов по ICAP в EtherSensor. В качестве таких клиентов может выступать Blue Coat SG, Cisco WSA, SQUID и т.д.
В некоторых случаях требуется иметь возможность проигрывания записанного ранее сетевого трафика. EtherSensor периодически опрашивает каталог на предмет появления новых PCAP-файлов с записанным трафиком. При обнаружении такие файлы немедленно обрабатываются и анализируются EtherSensor. Записать трафик в виде PCAP-файла можно при помощи утилит tcpdump или wireshark.
Имеется возможность подключения к Lotus Notes Transaction Log для получения всех сообщений, проходящих через эту почтовую систему. Также производится обнаружение почтовых сообщений Lotus Notes в обрабатываемом трафике.
На сервер Microsoft Lync с ролью Edge устанавливается плагин, отправляющий копию переписки на сервер EtherSensor.
Перехват данных платформой EtherSensor
Работа платформы EtherSensor начинается с получения данных службой перехвата.

Полученные данные проходят предварительную фильтрацию с целью исключения заведомо неинтересного трафика.
Использование технологии Berkeley Packet Filter (BPF) позволяет быстро настроить фильтрацию лишнего трафика, предоставляя на анализ данные именно из тех сегментов сети, которые нужны пользователю EtherSensor.

После BPF-фильтрации служба перехвата производит сшивку сетевых сессий и фильтрацию по протоколу уровня приложения.

Результатом работы службы перехвата является паспорт сообщения, файла или события, обнаруженного в потоке сетевого трафика. Данный объект по результатам обработки службы перехвата имеет информацию об отправителе, получателе, используемом протоколе уровня приложения, количестве и размерах объектов.
Анализ данных платформой EtherSensor
После обработки сетевого трафика служба перехвата передает объект паспорта в службу анализа, которая производит идентификацию сервиса, используемого для передачи данных. Затем служба анализа производит извлечение отправляемого сообщения, файла или события. Полученная на основании анализа информация записывается в объект паспорта, который проходит по созданной пользователем EtherSensor политике анализа.

В конфигураторе EtherSensor разработан дружеский графический инструмент для построения политики, не требующий специальной подготовки пользователя. Политика анализа строится по принципу таблиц проверок, аналогичным по логике правилам утилиты iptables.

Фильтрация производится по таким критериям, как протокол (уровня приложения и конкретного сервиса), отправитель и получатели (на уровне сети и на уровне конкретного сервиса), вложения, текст и многим другим. По результатам проверок критериев в политике анализа назначаются действия над анализируемым объектом, одним из которых является назначение транспортного профиля для отправки одному или нескольким потребителям в том или ином виде.

Для возможности построения тонкой политики анализа предусмотрена возможность объединения проверок логическими операторами «И», «ИЛИ», «Исключающее ИЛИ» и «НЕ».

В конце обработки наступает момент принятия решения: какому потребителю в каком виде отправлять объект, его метаданные или выборочную информацию, либо не выполнять никаких действий и забыть объект.
Отправка событий потребителям платформой EtherSensor
Служба транспортировки EtherSensor обеспечивает отправку сообщений, метаданных и событий потребителям.
Служба транспортировки оперирует транспортными профилями, которые включают в себя информацию о потребителе и формате отправляемых данных. Существуют транспортные профили следующих типов:

SMTP/S
Предназначен для отправки обработанных данных в виде почтового сообщения по протоколу SMTP/S.
Данный тип транспортного профиля идеально подходит для формирования почтового архива переписки работников, в том числе для сохранения сообщений, отправленных/полученных с использованием сервисов веб-почты.
FTP/S
Предназначен для сохранения извлеченных сообщений и других событий на FTP-сервер по протоколам FTP, FTPS или SFTP.
FILEDROP
Предназначен для сохранения извлеченных сообщений и других событий на файловой системе.
IMAP/S
Предназначен для отправки извлеченных сообщений и других событий в виде почтового сообщения по протоколу IMAP/S.
SMB
Предназначен для сохранения извлеченных сообщений и других событий на файловом хранилище по протоколу SMB.
AMQP
Предназначен для отправки обработанных данных и их метаданных по протоколу AMQP системе-потребителю напрямую или через брокер сообщений.
Syslog
Предназначен для отправки структурированных данных по протоколу Syslog; данный тип транспортного профиля идеально подходит для отправки событий в SIEM-системы; предусмотрено свободное формирование отправляемой строки из набора макропеременных объекта, что существенно облегчает написание коннекторов на принимающей стороне.
DEVICELOCK
Предназначен для отправки обработанных данных и их метаданных в DeviceLock DLP Suite — современное DLP-решение для защиты данных и контроля перемещения конфиденциальной информации за пределы компании, а также защиты предприятия от внутренних угроз.
INFOWATCH
Предназначен для отправки сообщений в INFOWATCH TRAFFIC MONITOR ENTERPRISE – современное DLP-решение для защиты данных и контроля перемещения конфиденциальной информации за пределы компании, а также защиты предприятия от внутренних угроз.
Типы транспортных профилей FTP/S, FILEDROP и SMB, помимо стандартных опций, предусматривают возможность задать собственный формат сохранения: только объект паспорта, в виде EML-сообщения, в виде ZIP-архива с указанной степенью сжатия, сохранение метаданных.

Каждый тип транспортного профиля учитывает особенности используемого протокола и содержит соответствующие настройки, значительно упрощающие интеграцию с потребителями.

Для снижения нагрузки на серверы систем-потребителей имеется возможность настроить балансировку отправляемых событий путем объединения транспортных профилей в групповой профиль с указанием весов каждого из них.
Потребителями контента платформы EtherSensor являются системы:
  • DLP – основной задачей любой DLP-системы является контроль информационных каналов, а возможности EtherSensor покрывают большинство из них, отвечая за сбор метаданных и проведение при этом значительной часть анализа. Примеры DLP-систем, являющихся потребителями контента платформы EtherSensor:
    • DeviceLock DLP Suite;
    • INFOWATCH TRAFFIC MONITOR ENTERPRISE;
    • Solar Dozor (старое название – “Дозор-Джет”);
    • Symantec DLP;
  • SIEM – гибкая политика позволяет легко передавать интересующие события в SIEM-системы по протоколу Syslog в необходимом формате, что позволяет использовать SIEM-системы в качестве единого центра информационной безопасности;
  • Enterprise Archiving и e-Discovery, такие как Enterprise Search, Архивариус 3000, dtSearch;
  • Anomaly Detection, такие как SQLStream, Prelert, Twitter Anomaly Detection.
Зачем ETHERSENSOR, если установленная у нас DLP-система имеет свой анализатор сетевого трафика?
Скорее всего, EtherSensor делает это лучше, надежней, производительней, и имеет гораздо больше детекторов веб-сервисов.

Некоторые присутствующие на российском рынке DLP-системы для решения задачи перехвата и анализа сетевого трафика используют устаревшую (2008 г.) версию библиотеки PSSDK – основного компонента EtherSensor, разрабатываемой Microolap. Исходя только из одного этого можно судить, что это не является их основной задачей.

Команда экспертов Microolap, в свою очередь, много лет занимается задачей перехвата и анализа сетевого трафика, своевременно обновляет детекторы протоколов и разрабатывает новые детекторы согласно современным требованиям информационной безопасности.

Преимущества платформы EtherSensor

  1. Без агентов на рабочих станциях
  2. Высокая производительность позволяет использовать серийное оборудование, в том числе виртуальный сервер, с низкими системными требованиями для анализа больших потоков данных (гигабиты в секунду без потери пакетов)
  3. Много источников данных, много потребителей данных – один EtherSensor
  4. Простой и понятный интерфейс позволяет использовать EtherSensor “из коробки” без специальной подготовки
  5. Гибкая модульная система лицензирования
  6. Полностью отечественная разработка, доказавшая свою надежность годами безотказной работы