Малозначительные факты с многозначительными последствиями

Автор: Алексей Соловьев, руководитель отдела развития Solar Dozor компании «Ростелеком-Солар»

Современную DLP-систему сложно себе представить без модуля контроля рабочих станций. Анализ сетевого трафика – дело важное и нужное, но большинство нарушений со стороны сотрудников можно выявить именно на рабочей станции – основном трудовом инструменте офисного персонала.

DLP-система Solar Dozor широко известна на российском рынке средств защиты от утечек и пользуется заслуженным признанием со стороны заказчиков. Один из ее ключевых модулей Dozor Endpoint Agent – знавал разные времена, в том числе и не самые простые. Были сложности и с масштабированием модуля, и с эффективностью перехвата. В итоге в 2018 году мы приступили к его полной переработке и в начале 2019го предложили рынку качественно иной модуль. Его основное достоинство – максимально эффективное решение задач контроля рабочих станций с минимальными трудовыми и временными затратами со стороны ИБ-специалиста.

Мы добавили немало новых возможностей в Dozor Endpoint Agent, о которых хотим рассказать в серии статей, адресованных нашим текущим и будущим пользователям. Сегодня речь пойдет о возможностях кейлоггера – одной из функций агента для перехвата нажатия клавиш с клавиатуры.

Задачи кейлоггера в агенте

Кейлоггер – технология, направленная, по нашему видению, на решение двух основных задач.

Конечно, в любой DLP-системе есть множество различных перехватчиков, однако с их помощью не всегда удается перехватить всю важную информацию. Например, если сотрудник пытается скопировать или передать подобную информацию с помощью какого-либо специфического ПО, которое не является распространенным. Или отправляет какие-либо данные по каналам с многоуровневой защитой – несколькими уровнями шифрования, по специфическому протоколу и т.п. – в таком случае использования штатных перехватчиков DLP-системы уже недостаточно. В таких случаях кейлоггер позволяет решить задачу путем съема информации непосредственно на стадии ее зарождения, то есть при ее вводе с клавиатуры. Перехваченные таким образом данные используются в дальнейшем для проведения расследования.

Отдельной важной задачей является перехват паролей от учетных записей, запароленных архивов и файлов, отправляемых за пределы компании и содержащих информацию, утечка которой критична для компании и несет серьезные бизнес-риски.

N.B. По поводу перехвата паролей от учетных записей отметим сразу: мы предварительно провели исследование среди наших заказчиков. По итогам выяснилось, что половина из них считает необходимым в целях безопасности перехватывать пароли от аккаунтов пользователей, а вторая половина категорически не приемлет перехват этой информации, и он строжайше запрещен внутренними корпоративными регламентами. Поэтому мы оставили настройку данной функциональности исключительно на усмотрение пользователя системы.

В общем механизм сам по себе эффективный, но, как и в кулинарии, главное – правильно его приготовить. Мы его готовили по следующему рецепту: перехватить – связать – склеить – спецэффекты по вкусу. Разберемся в деталях.

Перехватить => связать => склеить => спецэффекты по вкусу

Перехватить. Кейлоггер в Dozor Endpoint Agent может перехватывать пароли от учетных записей пользователей, от архивов, файлов и листов. Также осуществляется перехват фактов создания снимков экрана (клавиша PrintScreen) для последующей быстрой работы с ними как с отдельной категорией перехватов.

Связать. Все перехваты кейлоггер связывает с приложениями, в которых производился ввод данных с клавиатуры. В системе имеется широкий и постоянно пополняемый справочник приложений.

Склеить. Если сотрудник осуществлял ввод некоего связанного текста с клавиатуры в несколько этапов: набрал часть – переключился на другие задачи – вернулся к вводу – опять переключился – снова вернулся, кейлоггер детектирует все эти переходы и склеивает отдельно набранные куски текста в единый объект, который поступает в DLP-систему на анализ. На сегодняшний день такая возможность реализована только в DLP-системе Solar Dozor. Остальные представленные на российском рынке клавиатурные перехватчики, как отдельные продукты, так и в составе различных DLP-систем, предоставляют для анализа лишь разрозненный набор введенных с клавиатуры данных. И специалисту по безопасности в таком случае надо самому проанализировать весь поступивший набор разрозненной информации и восстановить из нее логическую цепь событий. Скажем прямо, нетривиальная задача.

Спецэффекты. В текущей версии кейлоггера Dozor Endpoint Agent отдельно отображаются результаты перехвата нажатий клавиши Backspace. Во время набора текста сотрудники часто применяют эту клавишу. В таком случае важно понимать, к какой информации было применено удаление, и уметь восстанавливать исходную информацию, которая может дать основания для проведения расследования. В результате администратору DLP-системы Solar Dozor доступен и финальный вариант текста, и исходный.

Приведем пример: сотрудник компании пишет заявление на увольнение.

Сначала указывает в тексте одну дату, потом стирает и ставит дату на 2 недели позже. У специалиста по безопасности сразу возникает вопрос, зачем это было сделано.

Чем сотрудник, уже принявший решение уволиться из компании, собирается заниматься эти две недели? Собирать ценную для бизнеса информацию? Агитировать своих коллег к совместному переходу в конкурирующую организацию? Этот вроде бы малозначительный факт – изменение даты в заявлении – повод провести расследование в отношении сотрудника.

Еще из спецэффектов в Solar Dozor реализована возможность связать перехваченные кейлоггером данные с соответствующими снимками экрана рабочего стола сотрудника. Функциональность модуля Dozor Endpoint Agent позволяет делать снимок экрана рабочей станции в любые заданные промежутки времени (хоть раз в минуту, хоть раз в час), а также по факту смены активного окна (переключения между приложениями), нажатию клавиш Enter и PrintScreen. Кейлоггер, перехватывая ввод какой-либо информации с клавиатуры рабочей станции, обращается к агенту за ближайшим по времени скриншотом. Таким образом специалист по безопасности получает сразу полную картинку события – введенные данные плюс подтверждение в виде скриншота.

Вид в интерфейсе и настройки

Как вся собранная кейлоггером информация отображается в интерфейсе DLP-системы? В быстром поиске Solar Dozor видны данные о перехваченных нажатиях клавиш, которые можно отфильтровать по типу события – перехваченный пароль, снимок экрана, ввод Backspace и т.п., по приложению, в котором вводилась информация, по персоне. Также есть возможность использования полнотекстового поиска. Вся собранная информация привязана к Досье сотрудника в системе (см. скриншот ниже).

Что касается настроек, кейлоггер может отслеживать как все приложения, так и лишь специфические, например, только критичные бизнес-системы – CRM, 1С и т.п. Все зависит от потребностей компании. Или, наоборот, можно настроить кейлоггер на перехват всех приложений кроме специализированных самописных, контроль над которыми не требуется.

Что там за горизонтом

Бытует мнение, что планы — это мечты знающих людей. Именно поэтому, реализовывая сегодня изменения в той или иной своей технологии или отдельной функции, мы имеем четкое представление о том, в каком направлении хотим развить и улучшить ее завтра. В части функциональности кейлоггера мы смотрим на то, как наши заказчики решают свои задачи, чего им не хватает для удобства работы с инструментом перехвата данных с клавиатуры. Какие дополнительные данные нужны заказчику для принятия решений, какая функциональность кейлоггера поможет максимально полно воссоздать контекст события безопасности. Все предоставляемые кейлоггером данные должны быть взаимосвязаны, чтобы цепочка расследования не прерывалась, и специалисту по безопасности не приходилось переключаться между различными вкладками.

Резюме

При разработке всех решений и заложенных в них технологий мы стараемся реализовать их таким образом, чтобы на работу с ними у специалиста по информационной безопасности уходило минимум времени, и при этом он получал максимальный результат. Именно так и реализован кейлоггер в составе Dozor Endpoint Agent. Его возможности направлены на получение максимально подробной информации о действиях сотрудника на рабочей станции, зафиксированных DLP-системой, со всеми деталями и сопутствующими данными в сжатые сроки.