Известно, что во многих случаях (хотя, конечно, и не во всех) чрезмерная жесткость дисциплины и мер безопасности дает скорее негативный эффект, а нередко приводит и к прямым убыткам. Скажем, стоит ли держать целую армию охранников в торговом зале, если пара их на выходе и несколько камер наблюдения обеспечат практически такой же уровень защиты? Естественно, нахождение разумного компромисса зависит от конкретных условий, и уповать на одно универсальное решение не приходится. Но применительно к ИТ именно разнообразие подходов к безопасности позволяет отыскать ту самую «золотую середину».
В последнее время все больше экспертов склоняются к мысли, что никакие внешние угрозы не представляют для компаний такой потенциальной опасности, как действия – умышленные или нет – своих же сотрудников, инсайдеров. В самом простом случае они могут перепутать адрес электронной почты или непреднамеренно вынести за пределы офиса важный документ. Не менее принципиально и то, чем вообще они занимаются на своих рабочих местах. Скажем, злоупотребление форумами и чатами не только снижает продуктивность труда, но и повышает шанс утечки информации. Приводить подобные примеры можно бесконечно долго, на самом же деле важно то, как от всего этого защититься.
Административная консоль LanAgent позволяет не только подробно изучать протоколы мониторинга, но и буквально одним взглядом выявлять нарушителей |
Можно, конечно, попросту запретить сотрудникам (пусть не всем) доступ в Интернет, использование внешних накопителей, принтеров и т. д. Но логическое продолжение данной идеи неизменно заставит задаться вопросом, стоит ли тогда их вовсе подпускать к компьютеру? Очевидно, что любые подобные ограничения входят в противоречие с удобством, а значит, и эффективностью работы. При этом они вряд ли станут непреодолимым препятствием для настоящего злоумышленника. Соответственно, чаще всего достаточно лишь сочетать некоторые «традиционные» меры (антивирус, фильтрация контента) с контролем за характером деятельности пользователей.
Именно последнюю задачу и призвано решать приложение LanAgent российского разработчика NetworkProfi (официальным партнером в Украине является компания «Инфобезпека». Собственно, базовая идея кажется достаточно очевидной – различные средства мониторинга стали привычным делом, так почему бы не наделить их соответствующей спецификой и не встроить в некоторую централизованную систему. Вопрос лишь в том, насколько удобной и эффективной она будет.
Функционирование LanAgent определяется классической клиент-серверной архитектурой – административная консоль опрашивает выполняющиеся на рабочих станциях программы-агенты. В актуальной сегодня версии 2.0 последние могут устанавливаться удаленно и практически незаметно для пользователя. Мониторинг осуществляется перманентно (при необходимости он может быть приостановлен администратором), а его результаты сохраняются локально (в минимально защищенной папке) и передаются в консоль по запросу или через указанные промежутки времени. Контролируются клавиатурный ввод, запуск программ, доступ к файлам, буфер обмена, установка ПО, использование внешних накопителей, посещенные сайты. Кроме того, что очень полезно, агенты умеют периодически делать снимки экрана (либо одного активного окна).
Одна из наиболее любопытных функций LanAgent – снимки экрана |
Естественно, исследовать вручную подробные протоколы даже с нескольких рабочих станций – дело неблагодарное, поэтому разработчики предусмотрели механизмы уведомления. Во-первых, функция активного оповещения позволяет максимально оперативно узнавать о таких событиях, как инсталляция ПО или подключение флэш-накопителя. Во-вторых, в LanAgent имеется простой механизм правил, нарушение которых автоматически фиксируется в протоколах и приводит к изменению цвета индикатора уровня опасности (с зеленого – до желтого или красного в зависимости от настроек). Это могут быть запуск программы (к сожалению, определяемой только по имени исполняемого модуля), обращение к файлу, ввод последовательности символов, переход по указанным ссылкам – вполне достаточно для осуществления весьма прецизионного контроля.
Из дополнительных инструментов в LanAgent присутствуют несложный генератор отчетов, который, к примеру, позволяет получить некоторую статистику по использованию ПО или посещению веб-сайтов, а также утилита для резервирования базы данных с собранной информацией.
В целом приложение довольно просто в использовании и вполне справляется со своими основными обязанностями, особенно при отсутствии активного противодействия пользователей (впрочем, его можно нивелировать штатными средствами ОС и доменных политик). В идеале, конечно, стоило бы, скажем, идентифицировать исполняемые файлы не только по имени, но и по контрольным суммам. Хотелось бы и более адекватных отчетов о реальном применении ПК и Интернета, быть может, даже графических (сейчас эта проблема отчасти решается за счет импорта данных в Microsoft Excel). Пожалуй, можно было бы выделить еще ряд недочетов, но, к чести NetworkProfi, служба поддержки работает оперативно и охотно реагирует на запросы даже потенциальных клиентов, которые в течение 15 дней могут испытать полнофункциональную версию LanAgent (с возможностью мониторинга трех компьютеров). Соответственно, большинство проблем устраняются вскоре после обнаружения, а разумные пожелания пользователей учитываются в очередных обновлениях.