LanAgent: не шпион - разведчик

Известно, что во многих случаях (хотя, конечно, и не во всех) чрезмерная жесткость дисциплины и мер безопасности дает скорее негативный эффект, а нередко приводит и к прямым убыткам. Скажем, стоит ли держать целую армию охранников в торговом зале, если пара их на выходе и несколько камер наблюдения обеспечат практически такой же уровень защиты? Естественно, нахождение разумного компромисса зависит от конкретных условий, и уповать на одно универсальное решение не приходится. Но применительно к ИТ именно разнообразие подходов к безопасности позволяет отыскать ту самую «золотую середину».

В последнее время все больше экспертов склоняются к мысли, что никакие внеш­ние угрозы не представляют для и такой потенциальной , как действия - умыш­ленные или нет - своих же сотруд­ников, инсайдеров. В самом прос­том случае они могут перепутать адрес электронной почты или непреднамеренно вынести за пределы офиса важный документ. Не менее принципиально и то, чем вообще они занимаются на своих рабочих местах. Скажем, злоупотребление форумами и чатами не только снижает продуктивность труда, но и повышает шанс утечки информа­ции. Приводить подобные при­меры можно бесконечно долго, на самом же деле важно то, как от этого всего защитится.

Можно, конечно, попросту за­претить сотрудникам (пусть не всем) доступ в Интернет, использо­вание внешних накопителей, принтеров и т.д. Но логическое продол­жение данной идеи неизменно за­ставит задаться вопросом, стоит ли тогда их вовсе подпускать к ком­пьютеру? Очевидно, что любые по­добные ограничения входят в про­тиворечие с удобством, а значит, и эффективностью работы. При этом они вряд ли станут непреодолимым препятствием для настоящего зло­умышленника. Соответственно, чаще всего достаточно лишь соче­тать некоторые «традиционные» меры (антивирус, фильтрация контента) с контролем за характером деятельности пользователей.

Именно последнюю задачу и призвано решать приложение LanAgent российского разработ­чика NetworkProfi (официальным партнером в Украине являет­ся компания «Инфобезпека», www.infobezpeka.com). Собственно, базовая идея кажется достаточно очевидной - различные средства мониторинга стали привычным делом, так почему бы не наделить их соответствующей спецификой и не встроить в некоторую цент­рализованную систему. Вопрос лишь в том, насколько удобной и эффективной она будет.

Функционирование LanAgent оп­ределяется классической клиент-серверной архитектурой - адми­нистративная консоль опрашивает выполняющиеся на рабочих стан­циях программы-агенты. В акту­альной сегодня версии 2.0 послед­ние могут устанавливаться удаленно и практически незаметно для поль­зователя. Мониторинг осуществля­ется перманентно (при необходи­мости он может быть приостанов­лен администратором), а его результаты сохраняются локально (в минимально защищенной папке) и передаются в консоль по запросу или через указанные промежутки времени. Контролируются клавиатурный ввод, запуск программ. доступ к файлам, буфер обмена, установка ПО, использование внешних накопителей, посещен­ные сайты. Кроме того, что очень полезно, агенты умеют периоди­чески делать снимки экрана (либо одного активного окна).

Естественно, исследовать вруч­ную подробные протоколы даже е нескольких рабочих станций - дело неблагодарное, поэтому разработ­чики предусмотрели механизмы уведомления. Во-первых, функция активного оповещения позволяет максимально оперативно узнавать о таких событиях, как инсталляция ПО или подключение флэш-накопителя. Во-вторых, в LanAgen име­ется простой механизм правил, на­рушение которых автоматически фиксируется в протоколах и при­водит к изменению цвета индика­тора уровня опасности (с зеле­ного - до желтого или красного в зависимости от настроек). Это мо­гут быть запуск программы (к со­жалению, определяемой только по имени исполняемого модуля), об­ращение к файлу, ввод последова­тельности символов, переход по указанным ссылкам - вполне достаточно для осуществления весьма прецизионного контроля.

Из дополнительных инструмен­тов в LanAgen присутствуют не­сложный генератор отчетов, кото­рый, к примеру, позволяет полу­чить некоторую статистику по использованию ПО или посеще­нию веб-сайтов, а также утилита для резервирования базы данных с собранной информацией.

В целом приложение довольно просто в использовании и вполне справляется со своими основными обязанностями, особенно при от­сутствии активного противодейс­твия пользователей (впрочем, его можно нивелировать штатными средствами ОС и доменных поли­тик). В идеале, конечно, стоило бы, скажем, идентифицировать исполняемые файлы не только по имени, но и по контрольным сум­мам. Хотелось бы и более адекват­ных отчетов о реальном применении ПК и Интернета, быть может даже графических (сейчас эта проб­лема отчасти решается за счет им­порта данных в Microsoft Excel).

Пожалуй, можно было бы выделить еще ряд недочетов, но, к чести NetworkProfi служба поддержки работает оперативно и охотно реагирует на запросы даже потен­циальных клиентов, которые в течение 15 дней могут испытать полнофункциональную версию
LanAgent (с возможностью мони­торинга трех компьютеров).
Соответственно, большинство проблем устраняются вскоре после обнаружения, а разумные пожела­ния пользователей учитываются в очередных обновлениях.

Публикации по теме