Microolap EtherSensor

Microolap EtherSensor — программная платформа для анализа сетевого трафика в режиме реального времени, которая распознает такие объекты пользовательских и системных коммуникаций, как сообщения, файлы и сетевые события.

Основная задача EtherSensor — значительное повышение эффективности ИБ-систем за счет качественно решенной задачи анализа сетевого трафика. EtherSensor является пассивной системой, она работает только с копией трафика, никак не влияя на сетевую инфраструктуру.

Решаемые задачи

• Извлечение из сетевого трафика в режиме реального времени:
  • сообщений, отправляемых/получаемых с использованием веб-почты, социальных сетей, и так далее с учетом возможностей функциональных модулей;
  • файлов, отправляемых и загружаемых с использованием файлообменных сервисов, сервисов мгновенных сообщений, облачных сервисов и т.д.;
  • различных действий в интернет-сервисах;

• Фильтрация заведомо неинтересных извлеченных событий;
• Анализ и получение метаданных событий;
• Отправка событий и их метаданных потребителям по различным протоколам в требуемом формате для дальнейшего анализа и хранения.

Функции EtherSensor сгруппированы по модульной схеме, что позволяет решать задачи, также группируя их согласно политикам безопасности заказчика.

Модули

• Веб-почта — выделение из трафика методом пассивного перехвата исходящих сообщений служб веб-почты (Mail.RU, Yandex.RU, Pochta.RU, GMail и т.п. (40+ доменов), а также сервисов на популярных webmail-движках).
• Социальные сети — выделение из трафика методом пассивного перехвата сообщений разных типов (авторизация, сообщения, комментарии и т.п.) в социальных сетях и на форумах: Facebook, LinkedIn, Vk.com, Одноклассники, Mamba.ru, phpbb, ipb, vbulletin, mybb, а также SMS/MMS-сообщения пользователей, отправляемые через специализированные веб-сервисы (500+ доменов).
• Email — выделение из трафика методом пассивного перехвата сообщений электронной почты, передаваемых по протоколам SMTP, POP3 и IMAP4.
• ICAP-сервер — позволяет использовать в качестве источника трафика для выделения сообщений HTTP-трафик, извлеченный из HTTPS-трафика и поставляемый по протоколу ICAP внешними системами: SQUID, BlueCoat SG, Cisco WSA, Webwasher, Websense, FortiGate и т.п.
• Сервер Агентов EtherSensor — служит для идентификации пользователей и их привязки к перехваченным сообщениям. Например, при работе пользователей через терминальный сервер.
• Передача файлов — выделение из трафика методом пассивного перехвата файлов, передаваемых по протоколам HTTP, FTP, SMB/CIFS и WebDAV.
• Мгновенные сообщения — выделение из трафика методом пассивного перехвата сообщений, отправляемых и получаемых через службы мгновенных сообщений, работающие по протоколам IRC, MSN, XMPP/Jabber, MRA, Yahoo и OSCAR (ICQ, Skype, Google Hangouts, Mail.ru Агент и т.п.).
• Чтение входящей веб-почты — выделение из трафика методом пассивного перехвата входящих сообщений служб веб-почты (Mail.RU, Yandex.RU, Pochta.RU, GMail и т.п.(40+ доменов)), а также сервисов на популярных webmail-движках.
• Поиск работы — выделение из трафика методом пассивного перехвата сообщений, вакансий, откликов и других событий сервисов вакансий и поиска работы, таких как HH.ru, Superjob.ru, Job.ru и т.п. (150+ доменов).
• Lotus Notes — выделение из трафика методом пассивного перехвата сообщений системы IBM Notes (ранее Lotus Notes). В том случае, если применяется шифрование трафика, сообщения могут извлекаться из Lotus Notes Transaction Log (данный метод никак не влияет на работу IBM Notes).

В случае получения сообщений, дешифрованных прокси-сервером и направляемых в EtherSensor по протоколу ICAP, необходимо дополнительно с имеющимся набором модулей использовать модуль ICAP-сервер.Унифицированные коммуникации в России: как развиваются отечественные решения и кто лидирует на этом рынке. Обзор TAdviser 6.8 т

Принцип Работы

Принцип работы платформы EtherSensor делится на 3 логических раздела:

• Получение сетевого трафика — EtherSensor получает через Mirror-порты (SPAN, rx и tx пакеты), по протоколу ICAP от прокси-серверов, через PCAP-файлы с записанным ранее трафиком, а также через интеграционные источники, такие как Lotus Notes, MS Exchange или Skype for Business (Lync);
• Анализ данных — после получения сетевого трафика EtherSensor производит сигнатурный анализ на соответствие детекторам протоколов начиная с канального (L2) вплоть до прикладного уровня (L7) сетевой модели OSI, а также на соответствие детекторам конкретных веб-сервисов, что позволяет EtherSensor добывать события безопасности различных уровней с применением политик информационной безопасности различной сложности;
• Доставка событий потребителям — согласно настроенным политикам безопасности EtherSensor производит отправку событий системам-потребителям в пригодном для них виде; например, в DLP-системы EtherSensor направляет переписку пользователей в мессенджерах, веб-почте, социальных сетях, блогах и форумах, а в SIEM-системы — информацию обо всех сетевых соединениях с результатом проверок в DNS Black Lists или файловом обмене. При этом события интернет-активности пользователей формируются в оригинальном виде, что упрощает их анализ для службы ИБ.

Результатом работы EtherSensor являются перехваченные:

• сообщения и вложения веб-почты, включая входящую;
• события социальных сетей (регистрация, вход, переписка, выгрузка файлов, комментарии);
• сообщения корпоративной и личной электронной почты;
• переписка, файлы, контакт-листы мессенджеров (включая Skype и Google Hangouts);
• действия на форумах и блогах;
• регистрация, события входа, создания и актуализация резюме и отклики на вакансии в сервисах поиска работы;
• события файловых хранилищ и облачных сервисов (протоколы FTP/S, HTTP/S, WebDAV/S);
• события, содержащие нежелательный текст или контент;
• поисковые запросы пользователей;
• события подключения к прокси-серверам, использования анонимайзеров, события взаимодействия с хостами из DNS BlackList;
• и многие другие сетевые события.

EtherSensor не выполняет архивирование результатов и поиск по ним, а отправляет события на дальнейший анализ и хранение в любые DLP, SIEM, eDiscovery, и другие системы информационной безопасности.

Особенности

• Без агентов на рабочих станциях
• Не оказывает влияния на сетевую инфраструктуру
• Высокая производительность позволяет использовать серийное оборудование, в том числе виртуальный сервер, с низкими системными требованиями для анализа больших потоков данных (гигабиты в секунду без потери пакетов)
• Полностью отечественная разработка
• Microolap Technologies осуществляет прямую техподдержку пользователей и партнёров на русском и английском языках.

Сферы применения

Существуют классы решений, для которых критически важен высокопроизводительный анализ сетевого трафика, среди них: DLP (Data Loss/Leak Prevention, системы «предотвращения» утечек конфиденциальных данных), SIEM (Security information and event management, управление событиями безопасности), DPI (Deep Packet Inspection, глубокий анализ сетевых пакетов).

Платформа EtherSensor поможет в решении задач всех перечисленных выше типов систем, а именно:

• соберет полную статистику по сетевым соединениям, решая тем самым задачи DPI;
• извлечет сообщения, файлы и все необходимые метаданные, а также проведет их анализ, решая тем самым большую часть задач DLP в реальном времени
• без коннекторов подготовит для любой SIEM данные о событиях в нужных форматах и в реальном времени согласно указанным политикам безопасности;
• доставит события и/или контент сообщений во все необходимые системы.

Например: EtherSensor перехватит отправленное через Gmail с использованием анонимайзера почтовое сообщение, содержащее во вложении клиентскую базу пользователей, а также 4 неудачных попытки входа в этот Gmail-аккаунт. В итоге DLP-система получит отправляемое сообщение с вложением для более тщательного анализа и последующего хранения инцидента, а SIEM-система получит события о попытках входа в Gmail-аккаунт с указанием на конкретный хост, а также событие инцидента об отправке клиентской базы.

Шифрованный трафик

Для анализа SSL-трафика компания Microolap совместно с компанией Artx разработали продукт SSLSplitter, который предоставляет в EtherSensor копию данных, передаваемых внутри SSL-соединений. В случае, если в организации уже установлен другой продукт, решающий задачу расшифровки SSL-трафика, EtherSensor интегрируется с ним по протоколу ICAP или путем прослушивания дополнительного Mirror-порта.

Производительность

Платформа EtherSensor способна анализировать потоки более 20 Гбит/с без потерь пакетов на одном сервере, как физическом, так и виртуальном. Такие результаты достигаются за счет разработки собственных технологий перехвата трафика и межпроцессного взаимодействия.

Сетевая статистика

В поставку EtherSensor входит EtherStat — инструмент для сбора, хранения и обогащения сетевой статистики, позволяющий проводить ретроспективный анализ сетевой активности пользователей и строить отчеты об использовании сетевого трафика.

2018: Обновление до версии 5.0.3. Интеграция с SecureTower

10 августа 2018 года компания Микроолап Текнолоджис представила обновление платформы EtherSensor 5.0.3. Помимо прочих обновлений, в данной версии платформы стала возможной интеграция с DLP-системой SecureTower от компании Falcongaze.

Наиболее часто EtherSensor находит применение при решении задач по предотвращению утечек конфиденциальных данных (DLP-системы), управлению событиями информационной безопасности (SIEM-системы) и архивированию корпоративных сообщений (Compliance Archiving). Именно для решения первой проблемы предназначено программное решение SecureTower — из EtherSensor система наиболее оперативно получает данные для анализа.

Совместное интеграционное решение Falcongaze SecureTower и Microolap EtherSensor совмещает сильные стороны продуктов, качественно покрывая основной пул каналов утечек данных, как на периметре сети, так и на стороне рабочих станций. Я нахожу такое решение очень востребованным для крупных организаций, уделяющих должное внимание информационной безопасности Александр Акимов, генеральный директор компании Falcongaze

Предыдущая версия EtherSensor была способна обрабатывать потоки данных более 20 GBps, при этом извлекая и анализируя в реальном времени объекты уровня приложения. В версии EtherSensor 5.0.3 Микроолап Текнолоджис вплотную приблизилась к возможности обрабатывать потоки трафика, встречающиеся при решении операторских задач. SecureTower, в свою очередь, готова анализировать этот трафик на предмет нарушений политик безопасности и утечек конфиденциальных данных.

Мы всегда считали Falcongaze SecureTower качественным DLP-решением и очень рады возможности использовать их аналитический функционал для обработки сетевых событий, собранных EtherSensor. В совместном решении Falcongaze SecureTower берёт на себя прикладную часть задач информационной безопасности, а Microolap EtherSensor - количественную в части высокопроизводительного извлечения событий и их контента из сетевого трафика. Полученная синергия резко повышает уровень совместного решения с точки зрения эффективности мер защиты информации в организации. Эдуард Смирнов, генеральный директор Микроолап Текнолоджис

2017: Интеграция с DeviceLock DLP

Компании «Смарт Лайн Инк» и «Микроолап Текнолоджис» 4 августа 2017 года объявили о реализации прозрачной технологической интеграции собственных решений для оптимизации решения задач по предотвращению утечек корпоративной информации, а также повышения гибкости и широты возможностей DLP-технологий при выявлении расследовании инцидентов. Как результат, была создана первая полноценная гибридная DLP-система, позволяющая объединить различные технологии контроля каналов передачи данных в единое целое.

В результате интеграции DLP-комплекса DeviceLock DLP и программной платформы перехвата и анализа сетевого трафика Microolap EtherSensor в единую гибридную DLP-систему организации получают возможность одновременного использования возможностей двух смежных решений с частично пересекающимися функциональными возможностями для обеспечения DLP-контроля корпоративной информации в различных сценариях. Управление продуктами осуществляется независимо друг от друга, но при этом ведется единая база данных событийного протоколирования и теневого копирования, что позволяет выполнять выявление и анализ инцидентов информационной безопасности для широчайшего спектра потенциальных каналов утечки данных – от портов и устройств до современных веб-сервисов, централизованно в рамках одного решения.

Microolap EtherSensor позволяет контролировать на уровне шлюза доступа в интернет использование внутрикорпоративной и внешней электронной почты, веб-почты, в том числе чтение входящей почты, социальных сетей, форумов и блогов, а также SMS/MMS-сообщения пользователей, отправляемые через специализированные веб-сервисы путем анализа сетевого трафика (включая SSL/TLS трафик). Кроме того, анализируются передача файлов по протоколам HTTP, FTP и в облачные хранилища, широкий ряд мессенджеров и сервисов поиска работы. Перехваченные события безопасности передаются в DeviceLock DLP для последующего хранения и анализа, включая возможности полнотекстового поиска в поисковом сервере DeviceLock Search Server.

Поскольку контроль сетевого трафика реализован в DeviceLock DLP на уровне рабочей станции независимо от способа выхода в интернет и включает в себя, помимо протоколирования, теневого копирования и тревожных оповещений, также возможность блокировки нежелательной или недопустимой передачи данных по контекстным параметрам либо на основании анализа содержимого передаваемых данных (контентной фильтрации), пользователи гибридного решения DeviceLock DLP + EtherSensor получают возможность создавать выборочные DLP-политики с различными уровнями контроля и реакции на события. Кроме того, возможность одновременного применения двух различных DLP-технологий для контроля сетевого трафика повышает надежность гибридной системы в решении задачи предотвращения и выявления утечек информации.

Совместное использование DeviceLock DLP и EtherSensor решает сразу несколько проблем и задач, стоящих перед службами информационной безопасности — мониторинга сетевого трафика с компьютеров и мобильных устройств, на которых по техническим причинам невозможно установить или эксплуатировать Endpoint-агент, либо снижения нагрузки на рабочие станции пользователей за счет раздельного контроля различных сетевых сервисов и протоколов на разных уровнях. Например, когда часть сетевых приложений контролируется Endpoint-агентом с глубоким анализом содержимого и принятием решений в реальном времени, а другая часть нагрузки отдается в работу сетецентричной DLP-платформе для перехвата и анализа на уровне периметра. При этом пользователям остаются полностью доступны все функции контроля (блокировки, мониторинга и тревожного оповещения) доступа к устройствам и локальным портам, в том числе съемным накопителям, буферу обмена данными и каналу печати, что возможно только при использовании Endpoint DLP-агента, подчеркнули в «Смарт Лайн Инк» и «Микроолап Текнолоджис».

Автоматическое переключение или отключение DLP-политик для контроля сетевого трафика в агенте DeviceLock DLP в зависимости от наличия подключения к корпоративной сети и/или корпоративным серверам позволяет задать гибкий контроль мобильных сотрудников, использующих лэптопы и ноутбуки, когда, например, на уровне агента при нахождении лэптопа в офисе сохраняется контроль устройств, принтеров и критичных сетевых приложений и сервисов — в особенности использующих End-to-End шифрование, анализ которого принципиально недоступен на уровне периметра, а контроль и инспекция других сетевых протоколов переходит к EtherSensor.

Совместное интеграционное решение — это уверенный шаг к созданию гибридной DLP-системы, сочетающей в себе лучшие качества подходов Network DLP (Microolap EtherSensor) и Endpoint DLP (DeviceLock DLP), предоставляющей организации максимальный контроль над соблюдением политик безопасности в крупной корпоративной среде благодаря значительному увеличению ширины охвата каналов передачи данных и качества отслеживаемых DLP-системой событий безопасности, — заявил Эдуард Смирнов, генеральный директор Microolap Technologies.

Полученная в результате интеграции синергия решений от двух разработчиков дает возможность как крупнейшим компаниям России с десятками и сотнями тысяч рабочих мест, ныне использующим наши разработки независимо друг от друга, так и организациям меньшего масштаба расширить область охвата и гибкость DLP-контроля потоков данных в организации, — сообщил Ашот Оганесян, технический директор и основатель DeviceLock.