Примеры применения

В данном разделе описываются основные примеры применения платформы EtherSensor
Работа с типовыми каналами передачи данных
Веб-почта
Проблема: Руководитель отдела закупок во время проведения конкурса отправил тендерную документацию одного из участников их конкуренту через личный почтовый ящик Gmail.
Решение: Модуль “Веб-почта” платформы EtherSensor перехватывает исходящие сообщения веб-почты, включая вложения, направляет их в DLP-систему, где срабатывает политика информационной безопасности, детектирующая отправку документов по цифровым отпечаткам или ключевым словам.
Мгновенные сообщения
Проблема: Бухгалтер отправляет файл с расчетами бюджета на будущий год через Skype главбуху, но “ошибается окошком” и файл получает посторонний человек.
Решение 1: Модуль “Мгновенные сообщения” платформы EtherSensor перехватывает входящие и исходящие сообщения и файлы большинства мессенджеров, направляет их в DLP-систему, где срабатывает политика информационной безопасности, идентифицирующая отправку бухгалтерских документов по цифровым отпечаткам или цифровым идентификаторам.
Решение 2: Модуль “Мгновенные сообщения” платформы EtherSensor проверяет текст мгновенных сообщений и файлы, передаваемые с их помощью, на наличие ключевых слов или регулярных выражений. В случае обнаружения в тексте “бухгалтерских атрибутов” формируется событие для отправки в SIEM-систему полной информации о случившемся инциденте.
Чтение входящей веб-почты
Проблема: Программист, придя на рабочее место, первым делом заходит в свой личный почтовый ящик на Gmail, открывает отправленное самому себе письмо, скачивает архив. В архиве – большой проект, в разработке которого участвует программист. Оказывается, по причине приближающегося deadline, он решил поработать на выходных, а так как система контроля версий находится локально внутри организации, пришлось использовать сервис внешней веб-почты для переноса результатов работы. Тем временем пароль от почтового ящика оказался скомпрометирован.
Решение: Модуль “Чтение входящей веб-почты” платформы EtherSensor контролирует открываемые в веб-интерфейсе почтовых сервисов сообщения, формируя события согласно настроенным политикам информационной безопасности и передавая их системам-потребителям: SIEM, DLP, eDiscovery и пр.
Поиск работы
Проблема: Руководитель отдела по работе с крупными клиентами, с личного планшета через бесплатный корпоративный WiFi ищет себе работу в различных интернет-сервисах. Приняты организационно-технические меры по предотвращению утечки клиентской базы (end-point DLP на устройствах Михаила Ивановича). Доклад директора по ИБ Генеральному (в анкете имеется желаемая ЗП) приводит к успеху переговоров с сотрудником об изменении условий трудового договора, потери ценного сотрудника и чувствительных для компании данных предотвращены.
Решение: Модуль “Поиск работы” платформы EtherSensor своевременно реагирует на такую пользовательскую активность на большинстве сервисов поиска работы, как факт входа, составление и обновление резюме, отклик на вакансии, и так далее.
Email
Проблема: В почтовом клиенте, помимо корпоративного почтового ящика, подключены также личные почтовые ящики. Пользователь периодически путает почтовый ящик, с которого отправляет ТКП потенциальным клиентам.
Решение: Модуль “Email” платформы EtherSensor анализирует большинство почтовых протоколов, что позволяет контролировать не только корпоративные почтовые сервисы (вроде MS Exchange и Lotus Notes), но и внешние сервисы веб-почты, подключенные к почтовым клиентам.
Передача файлов
Проблема: Обнаружены многочисленные факты отправки чертежей нового изделия в сервис Google Drive. Оказывается, инженер “давным давно поставил Google Drive”, который начал синхронизировать все изменения в каталоге с рабочими проектами.
Решение: Модуль “Передача файлов” платформы EtherSensor анализирует не только протоколы FTP/S, SMB/CIFS, HTTP/S и HTTP2, но и протокол обмена данными в облачных сервисах WebDAV, что позволяет контролировать все основные каналы передачи файлов.
Социальные сети и форумы
Проблема: Секретарь в социальной сети из лучших побуждений выступила в защиту своего банка, и, не будучи специалистом в конкретном вопросе, привела некорректные доводы, подвергая тем самым банк серьёзным репутационным рискам.
Решение: Благодаря детекторам социальных сетей, форумов и сервисов отправки SMS/MMS сообщений, модуль “Социальные сети” платформы EtherSensor своевременно уведомит заинтересованных лиц обо всех соответствующих активностях.
Соблюдение политик информационной безопасности
Поиск по тексту с использованием слов и списков слов
Проблема: Не хочется просматривать все возможные сетевые события, тем более что пользователям почти все разрешено, интересны только события, содержашие в тексте набор ключевых фраз.
Решение: В настройках EtherSensor указываются списки ключевых слов и привязывается поиск по ним на конкретные типы событий. В результате события формируются только в случае, если, например, из определенной подсети в социальных сетях будет упомянуто название компании или конкретного работника.
Поиск по тексту с использованием регулярных выражений
Проблема: Необходимо анализировать сообщения, в тексте которых присутствуют номера договоров, деталей или других идентификаторов.
Решение: Наши специалисты помогают сформировать регулярное выражение и настроить в EtherSensor правила проверки текста необходимых типов событий.
Мониторинг использования приложений и веб-сервисов
Проблема: Необходимо контролировать сетевую активность приложений и использование различных веб-сервисов.
Решение: EtherSensor анализирует все сетевые соединения пользователей, при необходимости формируя события для смежных систем, а детекторы позволяют категоризировать сетевые запросы пользователей и привязывать их к конкретным веб-сервисам.
Передача конфиденциальной информации по открытым каналам связи
Проблема: Необходимо определять факты аутентификации и передачи данных в корпоративных информационных системах по открытым каналам связи, без использования шифрования.
Решение: Детектор “Accounts” определяет факты аутентификации по различным протоколам, а среди множества метаданных событий, формируемых EtherSensor, указывается протокол передачи данных. Возможность поиска по тексту позволяет идентифицировать выгружаемые и загружаемые документы.
Использование анонимайзеров
Проблема: Пользователи используют анонимайзеры, в связи с чем не удается определить фактически посещаемые интернет-ресурсы по их доменным именам.
Решение: EtherSensor позволяет настроить произвольный список анонимайзеров различных типов, и в случае их использования распознает фактически запрашиваемые интернет-ресурсы пользователей, указывая в метаданных перехвата факт использования анонимайзера.
Проверка посещаемых URL в DNS Black Lists
Проблема: Пользователь с рабочего компьютера осуществляет спам или вирусные рассылки с использованием специализированных интернет-сервисов.
Решение: Интеграция с сервисами DNS Black Lists позволяет EtherSensor обнаруживать запросы к спам-сервисам, указывая этот факт в метаданных событий.
Получение данных из множества источников
Получение контента из зашифрованного трафика
Проблема: Системы ИБ теряют свою эффективность за счет увеличения объемов шифрованного трафика в сети. Интеграция со смежными решениями либо не дают ожидаемого результата, либо навязывают дополнительный функционал для решения задачи расшифровки трафика.
Решение: Microolap для расшифровки сетевого трафика предлагает продукт SSLSplitter, лишенный указанных недостатков. В отличии от конкурирующих решений SSLSplitter позволяет расшифровывать не только протоколы HTTPS и FTPS, а любые протоколы, использующие SSL-шифрование. При этом EtherSensor позволяет одновременное получение данных как от SSLSplitter, так и от других аналогичных решений, таких как Palo Alto NGFW, FortiNet, Blue Coat, Cisco WSA, а также пассивный анализ ICAP-соединений, используемых, например, для передачи файлов потоковым антивирусам.
Получение копии сетевого трафика от множества сетевых устройств
Проблема: Сложная организация сети не позволяет найти одну точку съема копии сетевого трафика, включающую все необходимые сегменты сети.
Решение: EtherSensor позволяет одновременно обрабатывать неограниченное количество сетевых интерфейсов сервера, на котором она функционирует, вне зависимости от производителя физических или виртуальных сетевых устройств. Также поддерживается работа с системами захвата трафика, такими как NETSCOUT, Niagara Network.
Воспроизведение сохраненных дампов трафика
Проблема: Отсутствие инструментов для сравнения функциональности конкурирующих решений.
Решение: Платформа EtherSensor позволяет воспроизводить записанные ранее дампы сетевого трафика, что значительно упрощает процесс сравнения функциональности с конкурирующими решениями, процесс настройки, а также анализ работоспособности новых детекторов протоколов и интернет0сервисов.
Получение событий от смежных систем
Проблема: Получение сообщений почтовой системы Lotus Domino, а также от коммуникационной системы MS Skype for Business (старой название MS Lync).
Решение: EtherSensor распознает почтовые сообщения системы Lotus Domino, передаваемые в открытом виде. В случае, если используется шифрованние каналов передачи данных почтовых сообщений, EtherSensor способен подключаться к Lotus Transaction Log, получая всю почтовую переписку организации. Для получения событий MS Skype for Business EtherSensor имеет специальный плагин, позволяющий получать соответствующие события обмена сообщениями и файлами. При этом для решения данных задач использованы только официальные механизмы интеграции, обеспечивающую 100% совместимость с любыми версиями данных систем.
Другие полезные возможности
Идентификация пользователей на терминальных серверах
Проблема: Для организации работы филиальной сети организации функционируют несколько терминальных серверов, что значительно усложняют процедуру идентификации пользователей, генерирующих события ИБ.
Решение: Для решения этой задачи специалистами Microolap был разработан легковесный Агент EtherSensor, выполняющий идентификацию сетевого соединения, что позволяет EtherSensor при формировании события ИБ оперировать дополнительными метаданными, такими как учетная запись пользователя, имя устройства а также имя приложения, в котором было сформировано событие. Агент использует официальные механизмы операционной системы MS Windows, что обеспечивает совместимость со всеми версиями ОС, а также исключает конфликты с другими приложениями.
Ложные срабатывания политики информационно безопасности
Проблема: В DLP-системе или в SIEM формируется большое количество инцидентов за счет ложных срабатываний политики ИБ.
Решение: В EtherSensor созданы множество инструментов для фильтрации лишнего трафика на различных стадиях анализа сетевого трафика:
  • фильтрация на уровне сетевых пакетов – Berkeley Packet Filter позволяет фильтровать источники сетевого трафика по протоколам, портам, IP-адресам и подсетям;
  • фильтрация дебликатов сетевых сессий – при настройке нескольких источников сетевого трафика очень часто не удается исключить трафик систем, попадающий в несколько Mirror-портов; EtherSensor позволяет настроить удаление дубликатов сетевых сессий, что исключает формирование дубликатов событий ИБ;
  • фильтрация на уровне распознанных объектов и метаданных позволяет исключать заведомо неинтересные события ИБ; например, это позволяет регистрировать факт контента аудио/видео -потока, торрент-файлов или системных коммуникаций, исключая аудио, видео или другие файлы файлы.
С использованием механизмов фильтрации платформы EtherSensor офицеру ИБ значительно проще правильно настроить политику информационной безопасности DLP или SIEM-системы, сократив в разы количество ложных срабатываний и существенно снизив нагрузку на систему-потрубителя.
Анализ поисковых запросов пользователей
Проблема: Зачастую сложно определить уровень лояльности сотрудников организации с использованием привычных средств.
Решение: Полезным для решения этой задачи является такой инструмент платформы EtherSensor, как перехват поисковых запросов пользователей в поисковых системах, таких как Google, Yandex, и так далее.
Сетевая статистика
Проблема: Недостаточно данных для анализа подозрительной активности в сети
Решение: В рамках своей работы EtherSensor формирует множество статистики, которая может помочь при расследовании инцидентов информационной безопасности, а также при выявлении сетевых аномалий. Из множества задач, которые позволяют решить статистические данные EtherSensor, можно выделить следующие (на примере продукта EtherStat):
  • информация обо всех сетевых активностях пользователей;
  • информация о посещаемых веб-ресурсах;
  • разбивка пользовательского сетевого трафика по категориям;
  • новые устройства в сети за период;
  • хосты, с которых работает множество пользователей;
  • поиск по тексту поисковых запросов;
  • поиск по посещаемым URL (помогает осуществить tracking документов в сети Интернет при поиске инсайдеров).
Эту и множество другой полезной информации можно получить при помощи обработки статистики EtherSensor решениями классов UBA/UEBA, SIEM, Anomaly Detection.
Балансировка нагрузки на серверы системы-потребителя
Проблема: Серверы DLP-системы на справляются с потоком событий
Решение: EtherSensor включает в себя механизмы балансировки нагрузки на системы-потребителей событий при отправки событий. Таким образом можно указать для необходимых случаев целый пул серверов DLP-системы в качестве получателей событий EtherSensor, назначить им весовые характеристики, что обеспечит надежность функционирования системы информационной безопасности.