Преображение Агента

Тотальная переделка продукта по ощущениям равна двум пожарам и трем потопам. То есть решиться на такое можно лишь по очень веским причинам. Так вот к началу 2018 года необходимость таких изменений команда разработки агента для мониторинга рабочих станций Dozor Endpoint Agent уже просто не могла игнорировать. Система развертывания и управления агентами морально устарела и перестала как-либо коррелировать с общим для всех продуктов компании подходом к управлению «из одного окна». Что подтолкнуло к «перестройке», и что в итоге получили заказчики, расскажем ниже, честно и по существу.

Было. Standalone-ПО

До момента глобальной переработки, реализованной в течение 2018 года, endpoint-агент для мониторинга рабочих станций представлял собой ПО, управлявшееся специальной программой под Windows – «Центром приложений». Центр никак не был связан с флагманской DLP-системой, серверная часть которой функционирует на базе Linux. Программа имела минимальный набор возможностей для распространения, обновления endpoint-агентов на рабочих станциях и самой базовой диагностики их состояния.

«Центр приложений» требовал установки на Windows-машину – либо на отдельную рабочую станцию, либо же безопаснику необходимо было установить продукт на свой компьютер. При этом программа отъедала достаточно много ресурсов, требовала индивидуальных настроек, работы в отдельном окне и могла мешать основной деятельности ИБ-специалиста.

Не входя в состав модулей Solar Dozor, Центр попросту не мог вписаться в общую для всех продуктов семейства DLP концепцию централизованного управления из единого интерфейса. Ведь изначально «Центр приложений» разрабатывался как универсальное ПО для удаленного распространения любых клиентских программ на рабочих станциях сети и никак не был адаптирован для фокусных целей защиты от утечек. Уже не говоря о необходимости ведения отдельной линии разработки, технической поддержки и т.п.

Упрощенно эксплуатация «Центра приложений» для развертывания endpoint-агентов в старой реализации выглядела следующим образом. Центр устанавливался на рабочую станцию безопасника, распространял агенты на всех компьютерах пользователей; агенты собирали данные с пользовательских рабочих станций и направляли их на анализ в DLP-систему. Информация о результатах диагностики состояния агентов, статусах установки и т.п. была доступна лишь в самом «Центре приложений» на рабочем компьютере безопасника. А значимые для информационной безопасности данные с рабочих станций пользователей можно было посмотреть только в интерфейсе DLP-системы Solar Dozor. Для заказчика такая схема, конечно, была неудобной. Так мы пришли к выводу, что схему управления агентами надо менять и фактически полностью переписали морально устаревшее приложение.

Cтало. Управление через интерфейс DLP-системы

После «капитального ремонта» новый модуль Dozor Endpoint Agent вошел в состав единой модульной системы защиты от утечек Solar Dozor. Модуль размещается на сервере, а управление им осуществляется из единого интерфейса DLP-системы наравне с любым другим функциональным модулем Solar Dozor. Через единый интерфейс ИБ-специалист может установить агенты на компьютеры пользователей, настроить их работу и одновременно контролировать положение дел с конфиденциальной информацией на всех рабочих станциях сети.

Старый Центр приложений умел устанавливать агенты на рабочие станции лишь одним способом – с помощью устаревшего инструмента WMI. Напомним, Windows Management Instrumentation – одна из базовых технологий для централизованного управления и слежения за работой различных частей компьютерной инфраструктуры под управлением платформы Windows.

Но технологии не стоят на месте, и, изучив инфраструктурные возможности заказчиков, мы сформулировали для себя оптимальный набор опций распространения endpoint-агента. Переработанный модуль может устанавливаться через материнскую DLP-систему тремя различными способами, не считая внешнюю установку через смежные системы (антивирусы и др.) Можно по своему желанию выбрать наиболее удобный способ в зависимости от специфики организации и ее ИТ-инфраструктуры, регламентов использования тех или иных технических средств. При этом агенты, установленные на рабочих станциях не через DLP-систему, сразу же появляются в интерфейсе Solar Dozor и начинают поставлять в него информацию.

Как можно развернуть Dozor Endpoint Agent сейчас

С помощью специальной функции Solar Dozor – сервиса software-center, который позволяет централизованно управлять агентами (устанавливать/настраивать/обновлять/удалять), а также отслеживать состояние агентов без использования дополнительных программных средств. Через этот сервис агент можно распространять с помощью службы WinRM или с использованием административного доступа к удаленным ресурсам по протоколу SMB. Данный способ установки предпочтителен для компаний, в которых службы WinRM доступны для конфигурирования на каждой рабочей станции, где планируется развертывание Dozor Endpoint Agent.

Средствами групповой политики – GPO/Group Policy Object, которые являются стандартными средствами ОС Windows. С помощью групповой политики выполняются настройки рабочих станций и параметров пользователей в сетях на основе доменных служб ActiveDirectory. Этот вариант подойдет для компаний, в которых службы WinRM недоступны для конфигурирования и нет возможности для их включения и настройки.

Параметры групповой политики можно настроить и локально, но локальная групповая политика требует работы с каждым компьютером по отдельности, что затруднительно для больших сред.

Посредством System Center Configuration Manager (SCCM), продукта для управления ИТ-инфраструктурой на основе MS Windows, предназначенного для конфигурирования серверов и рабочих станций. Этим путем лучше пойти, если SCCM является основным средством распространения ПО в компании.

Преимущества управления через интерфейс DLP-системы

Во-первых, при распространении через DLP-систему можно увидеть этапы установки агентов. Сначала устанавливается средство развертывания, которое выкачивает весь дистрибутив Dozor Endpoint Agent и стандартно устанавливает агенты на необходимом количестве рабочих станций как Windows-приложение. ИБ-специалист может посмотреть централизованно в интерфейсе Solar Dozor детальный статус установки агентов на каждой рабочей станции. Кроме того, в случае прихода в компанию новых сотрудников можно непосредственно в интерфейсе Solar Dozor быстро и просто добавить рабочие станции разными способами – по имени станции, по IP, из списка в Active Directory – и сразу же установить на них endpoint-агент.

В ближайшем будущем планируется реализация централизованной установки Linux-агента. С помощью старого «Центра приложений» установить Linux-агент было невозможно, поскольку Центр был привязан к средствам Windows.

Во-вторых, через интерфейс DLP-системы Solar Dozor реализовано эффективное и гибкое управление огромным количеством агентов, а также мониторинг их состояния для организаций уровня large enterprise, с компьютерным парком от десятков до сотен тысяч единиц. На таких огромных объемах просто-напросто невозможно осуществлять ручное управление отдельными рабочими станциями и мониторинг состояния агентских модулей на них.

В-третьих, в DLP-системе Solar Dozor довольно давно появилась система продвинутой аналитики, позволяющая быстро получать значимую с точки зрения ИБ информацию по различным готовым срезам данных. Для ее реализации мы провели основательное исследование, какие именно срезы и инструменты быстрой работы с событиями, инцидентами, информационными объектами, персонами и т.п. особенно важны для служб ИБ. Система также подсказывает пользователю, с помощью каких срезов можно решить его задачу эффективнее.

Соответственно, в части управления агентами в системе представлены следующие готовые срезы данных, подсчет по которым производится в режиме онлайн.

1. Появились срезы по Статусам агентов на компьютерах – «агент недоступен», «в стадии развертывания», «в стадии обновления» и т.д.

В отдельную группу вынесены Проблемы, которые испытывают агенты на рабочих станциях – «не доступны средства развертывания», «неактуальные политики» (агента на конкретной рабочей станции) и т.д. Ведь мало просто развернуть агент на рабочей станции – надо на него распространить актуальную политику безопасности. После обновления политики надо автоматически распространить ее на все агенты. При этом рабочие станции и DLP-система взаимодействуют в асинхронном режиме. Например, DLP-система самостоятельно не может понять, почему агент на рабочей станции не доступен в тот или иной промежуток времени. Рабочая станция может быть выключена, если сотрудник в отпуске, или находиться вне сети, если сотрудник в командировке, и т.п. Поэтому в endpoint-агенте была реализована некоторая модель здоровья, которая сообщает DLP-системе о текущем состоянии агента по определенному набору признаков. Развитие функциональности модели здоровья – одна из значимых точек роста Dozor Endpoint Agent.

2. Появилась возможность объединения агентов в различные группы с возможностью задания разных конфигураций и политик для разных групп.

Например, рабочие станции сотрудников, находящихся на особом контроле у службы безопасности (сотрудники на испытательном сроке, увольняющиеся и т.п.), можно объединять в так называемые Группы особого контроля.

Ведь у системы мониторинга рабочих станций – широчайший спектр возможностей, и если мы будем применять все эти возможности на всех 200 тысячах рабочих станций предприятия-гиганта, никаких инфраструктурных мощностей не хватит. Кроме того, этот огромный массив событий надо будет обрабатывать, принимать по ним решения. Поэтому разумно к основной массе относительно доверенных сотрудников применять общий набор политик. А полный набор политик безопасности использовать лишь в отношении отдельных групп рабочих станций, которые должны находиться под особенно серьезным контролем.

3. Можно осуществлять мониторинг состояния агентов на рабочих станциях и с помощью Организационно-штатной структуры компании, отображаемой в панели управления агентами в Solar Dozor.

4. Отдельно в панель управления агентами выведена Настройка дистрибутивов. Эта опция позволяет установить новый дистрибутив агента на ограниченное число рабочих станций и понаблюдать за его работой в пробном режиме. Все-таки на рабочих станциях могут быть установлены разные операционные системы, с разной разрядностью, специфическое программное обеспечение и т.п. Поэтому хорошо иметь возможность проверить, как на них отработает новая версия, прежде чем разворачивать агенты на весь компьютерный парк.

5. В разделе Станции представлена полная информация обо всем жизненном цикле агента на конкретной рабочей станции. Когда был установлен (дата и точное время), в какой конфигурации, когда обновлялся, когда обновлялись политики, были ли сбои, возможные причины сбоев, текущее состояние, история состояний, все пользователи рабочей станции и многое другое. Таким образом, полная история событий на рабочей станции доступна для ретроспективного анализа.

6. Кроме того, ко всем разделам можно применить расширенный набор фильтров: на большом числе агентов сделать выборку рабочих станций по доменам, пользователям, хостам, нахождению в сети, операционным системам и многому другому. То есть отфильтровать рабочие станции по интересующим нас параметрам.

Таким образом, новая система управления endpoint-агентами в интерфейсе Solar Dozor, с широким набором готовых срезов и фильтров позволяет специалисту по информационной безопасности осуществлять оперативную работу с большим количеством собираемых агентом данных. С помощью этого инструментария можно быстро определить проблемные станции сети, с которыми надо поработать в первую очередь.

Автор: Алексей Соловьев, руководитель отдела развития Solar Dozor компании «Ростелеком-Солар»