Меню
Поиск

LanAgent: не шпион – разведчик

21 апрель, 2008 - 11:10Игорь Дериев

Известно, что во многих случаях (хотя, конечно, и не во всех) чрезмерная жесткость дисциплины и мер безопасности дает скорее негативный эффект, а нередко приводит и к прямым убыткам. Скажем, стоит ли держать целую армию охранников в торговом зале, если пара их на выходе и несколько камер наблюдения обеспечат практически такой же уровень защиты? Естественно, нахождение разумного компромисса зависит от конкретных условий, и уповать на одно универсальное решение не приходится. Но применительно к ИТ именно разнообразие подходов к безопасности позволяет отыскать ту самую «золотую середину».

LanAgent не шпион – разведчик

В последнее время все больше экспертов склоняются к мысли, что никакие внешние угрозы не представляют для компаний такой потенциальной опасности, как действия – умышленные или нет – своих же сотрудников, инсайдеров. В самом простом случае они могут перепутать адрес электронной почты или непреднамеренно вынести за пределы офиса важный документ. Не менее принципиально и то, чем вообще они занимаются на своих рабочих местах. Скажем, злоупотребление форумами и чатами не только снижает продуктивность труда, но и повышает шанс утечки информации. Приводить подобные примеры можно бесконечно долго, на самом же деле важно то, как от всего этого защититься.

LanAgent не шпион – разведчик
Административная консоль LanAgent позволяет не только подробно изучать протоколы мониторинга, но и буквально одним взглядом выявлять нарушителей

Можно, конечно, попросту запретить сотрудникам (пусть не всем) доступ в Интернет, использование внешних накопителей, принтеров и т. д. Но логическое продолжение данной идеи неизменно заставит задаться вопросом, стоит ли тогда их вовсе подпускать к компьютеру? Очевидно, что любые подобные ограничения входят в противоречие с удобством, а значит, и эффективностью работы. При этом они вряд ли станут непреодолимым препятствием для настоящего злоумышленника. Соответственно, чаще всего достаточно лишь сочетать некоторые «традиционные» меры (антивирус, фильтрация контента) с контролем за характером деятельности пользователей.

Именно последнюю задачу и призвано решать приложение LanAgent российского разработчика NetworkProfi (официальным партнером в Украине является компания «Инфобезпека». Собственно, базовая идея кажется достаточно очевидной – различные средства мониторинга стали привычным делом, так почему бы не наделить их соответствующей спецификой и не встроить в некоторую централизованную систему. Вопрос лишь в том, насколько удобной и эффективной она будет.

Функционирование LanAgent определяется классической клиент-серверной архитектурой – административная консоль опрашивает выполняющиеся на рабочих станциях программы-агенты. В актуальной сегодня версии 2.0 последние могут устанавливаться удаленно и практически незаметно для пользователя. Мониторинг осуществляется перманентно (при необходимости он может быть приостановлен администратором), а его результаты сохраняются локально (в минимально защищенной папке) и передаются в консоль по запросу или через указанные промежутки времени. Контролируются клавиатурный ввод, запуск программ, доступ к файлам, буфер обмена, установка ПО, использование внешних накопителей, посещенные сайты. Кроме того, что очень полезно, агенты умеют периодически делать снимки экрана (либо одного активного окна).

LanAgent не шпион – разведчик
Одна из наиболее любопытных функций LanAgent – снимки экрана

Естественно, исследовать вручную подробные протоколы даже с нескольких рабочих станций – дело неблагодарное, поэтому разработчики предусмотрели механизмы уведомления. Во-первых, функция активного оповещения позволяет максимально оперативно узнавать о таких событиях, как инсталляция ПО или подключение флэш-накопителя. Во-вторых, в LanAgent имеется простой механизм правил, нарушение которых автоматически фиксируется в протоколах и приводит к изменению цвета индикатора уровня опасности (с зеленого – до желтого или красного в зависимости от настроек). Это могут быть запуск программы (к сожалению, определяемой только по имени исполняемого модуля), обращение к файлу, ввод последовательности символов, переход по указанным ссылкам – вполне достаточно для осуществления весьма прецизионного контроля.

Из дополнительных инструментов в LanAgent присутствуют несложный генератор отчетов, который, к примеру, позволяет получить некоторую статистику по использованию ПО или посещению веб-сайтов, а также утилита для резервирования базы данных с собранной информацией.

В целом приложение довольно просто в использовании и вполне справляется со своими основными обязанностями, особенно при отсутствии активного противодействия пользователей (впрочем, его можно нивелировать штатными средствами ОС и доменных политик). В идеале, конечно, стоило бы, скажем, идентифицировать исполняемые файлы не только по имени, но и по контрольным суммам. Хотелось бы и более адекватных отчетов о реальном применении ПК и Интернета, быть может, даже графических (сейчас эта проблема отчасти решается за счет импорта данных в Microsoft Excel). Пожалуй, можно было бы выделить еще ряд недочетов, но, к чести NetworkProfi, служба поддержки работает оперативно и охотно реагирует на запросы даже потенциальных клиентов, которые в течение 15 дней могут испытать полнофункциональную версию LanAgent (с возможностью мониторинга трех компьютеров). Соответственно, большинство проблем устраняются вскоре после обнаружения, а разумные пожелания пользователей учитываются в очередных обновлениях.