ДиалогНаука

Продукты мировых лидеров информационной безопасности, предлагаемые компанией «ДиалогНаука», обеспечивают высокий уровень конфиденциальности, доступности и целостности информационных ресурсов предприятия. Подробнее

Фильтр продуктов

DeviceLock EtherSensor

 

Cерверный мониторинг и анализ сетевого трафика

Серверный модуль DeviceLock EtherSensor, автономный продукт в составе программного комплекса DeviceLock DLP Suite, позволяет организациям обеспечить всеобъемлющий мониторинг сетевого трафика, работая при этом на серийном серверном оборудовании или в виртуальной среде на ОС Windows с низкими системными требованиями для анализа больших потоков данных (гигабиты в секунду без потери пакетов).

Сервер EtherSensor позволяет протоколировать сетевые события и передаваемые по сети сообщения и файлы, не задействуя при этом агенты DeviceLock, в целях контроля использования внутрикорпоративной и внешней электронной почты (включая входящую почту), веб-почты, социальных сетей, широкого ряда мессенджеров, сервисов поиска работы, форумов и блогов. Также перехватываются и протоколируются передача файлов по протоколам HTTP, FTP и в облачные хранилища. Перехваченные данные сохраняются в базе данных в DeviceLock DLP для последующего хранения и анализа, включая возможности полнотекстового поиска с помощью DeviceLock Search Server.

Решаемые задачи:

  • Анализ содержимого пересылаемых по сети с любых устройств сообщений и файлов на предмет наличия в них конфиденциальных данных;
  • Создание архива всех сообщений и файлов, пересылаемых пользователями по сетевым каналам;
  • Эффективная интеграция с endpoint-компонентами системы DeviceLock DLP, включая единый архив событий и теневых копий.

Совместное использование агентов DeviceLock DLP, обеспечивающих полнофункциональный DLP-контроль рабочих станций, и сервера перехвата и анализа сетевого трафика DeviceLock EtherSensor, позволяет построить уникальную гибридную DLP-систему в организации любого масштаба. Благодаря сочетанию двух различных DLP-архитектур (сетевой и агентской) для контроля сетевого трафика службы информационной безопасности получают возможность обеспечить DLP-контроль корпоративной информации в различных сценариях, создавая гибкие DLP-политики с различными уровнями контроля и реакции на события, повысить надежность DLP-системы при решении задачи предотвращения и выявления утечек информации. Единая база данных событийного протоколирования и теневого копирования, наполняемая событиями и данными, полученными при перехвате трафика с уровня сети и в результате контроля сетевых коммуникаций и устройств на рабочих станциях, позволяет выявлять инциденты информационной безопасности для широчайшего спектра потенциальных каналов утечки данных.

Как работает сервер DeviceLock EtherSensor

Сервер DeviceLock EtherSensor выполняет три задачи:

  • пассивный перехват сетевого трафика канального уровня;
  • анализ перехваченного (зеркалированного) трафика для извлечения из него полезных объектов уровня приложения (объекты, их контент, события и т.д.);
  • сохранение результатов анализа в базе данных сервера DeviceLock Enterprise Server. EtherSensor функционирует без использования агентов DeviceLock, устанавливаемых на рабочих станциях для реализации других функций DLP-контроля. Высокая производительность EtherSensor позволяет использовать серийное серверное оборудование или среду виртуализации для анализа больших потоков данных (гигабиты в секунду без потери пакетов) при достаточно низких системных требованиях. EtherSensor работает в пассивном режиме получения сетевого трафика, следовательно, никак не воздействует на сетевую инфраструктуру и не требует ее изменения, кроме необходимости отведения копии сетевого трафика с помощью зеркалирования трафика или сетевого ответвителя на EtherSensor.

Источники данных для EtherSensor:

  • Cетевые интерфейсы физического или виртуального сервера EtherSensor подключаются к Mirror-порту (SPAN, rx и tx пакеты) для прослушивания трафика с критичных устройств или целых сегментов сети. Аналогично настраивается интеграция с решениями класса NGFW, способными расшифровывать SSL/TLS (PaloAlto Networks, FortiGate, и т.д.), когда копия расшифрованного SSL-трафика направляется на сетевой интерфейс EtherSensor для анализа.
  • Прокси-серверы при условии ICAP-интеграции, имеющие возможность расшифровки HTTPS-трафика и передачи результатов по ICAP в EtherSensor (Blue Coat SG, Cisco WSA, SQUID и т.д).
  • PCAP-файлы на файловой системе. EtherSensor периодически опрашивает каталог на предмет появления новых PCAP-файлов с записанным трафиком. При обнаружении такие файлы немедленно обрабатываются и анализируются EtherSensor.
  • Lotus Notes Transaction Log для получения всех сообщений, проходящих через почтовую систему IBM (Lotus) Notes. Также производится обнаружение почтовых сообщений Lotus Notes в обрабатываемом трафике.
  • Плагин для сервера Microsoft Skype for Business (Lync) с ролью Edge, отправляющий копию переписки на сервер EtherSensor.

Сервер EtherSensor реконструирует и анализирует объекты трафика, начиная с уровня 2 модели OSI и до уровня 7 – объекты, специфические для определённого приложения, пользователя и Интернет-сервиса, при этом число поддерживаемых сервисов превышает несколько тысяч. Для решения задачи анализа SSL/TLS трафика EtherSensor интегрируется с любыми сторонними решениями, имеющими функцию расшифровки SSL. Кроме того, встроенный ICAP-сервер позволяет серверу EtherSensor взаимодействовать с ICAP-клиентами, обрабатывающими HTTPS-трафик. Помимо этого, для решения задачи вскрытия SSL/TLS методом MITM может использоваться дополнительный программный продукт SSLSplitter.

Полученные в результате перехвата данные проходят предварительную фильтрацию с целью исключения заведомо неинтересного или мусорного трафика с использованием технологии Berkeley Packet Filter (BPF), которая позволяет предоставлять для дальнейшего анализа данные именно из тех сегментов сети, которые востребованы службой ИБ.

 

ФИО:
Название организации:
E-mail:
Телефон:
Сообщение:
Продукт:

 

Вендор:

SmartLine Inc

Рекомендуем ознакомиться: