Даже при продуманной защите своей сети, корпорация не может быть полностью уверенной в отсутствии инсайдерских угроз. Одним из способов защититься является мониторинг действий каждого пользователя.
Такой шаг вполне обоснован с учетом данных статистики, сообщающей о 75% сотрудников, которые пользуются пиратскими контентом и приложениями. Примерно такой же популярностью может похвастаться хакерское обеспечение – это взломщики паролей, эксплойты и сетевые снифферы. К тому же нельзя забывать о том, что многие пользователи (93%) держат служебную информацию воблаке или на съемных носителях, совершенно не беспокоясь о шифровке, а 96% стараются противодействовать политике безопасности.
Это делает систему открытой для инсайдерских угроз с любой стороны, но, отчего же, разнообразные решения SIEM и DLP не работают? Dtex Systems полагает, что причиной этому становится игнорирование индивидуальных характеристик. Это ведет за собой постоянные ложные срабатывания, пустую трату времени и делает бесполезным мониторинг. Dtex занимается наблюдением за нормальным поведением работников, поэтому извещения о подозрительной активности являются точно настроенными. При этом профиль обычной деятельности составляется для каждого приложения, сотрудника или устройства, и может включать в себя ряд метрик: активности конечных устройства, доступа к аккаунту и файлам.
Чтобы выполнение подобных задач стало возможным, требуется абсолютная видимость корпоративной сети . Но чтобы сделать это, применяются агенты, которые влекут за собой ряд проблем. Множество фирм пользуются системами, базирующимися на агентах, для предупреждения утечки информации, антивирусной защиты, мониторинга пользователей. Все это создает перегрузку и общей сети, и конечных устройств, что делает невозможным использовать полностью возможности агентов или даже побуждает полностью отказаться от них.
Микроагент Dtex требует для себя только 50 МБ и занимается сбором только метаданных активности пользователей, то есть на каждого сотрудника требуется один мегабайт в неделю. Каждый сервер способен обслужить 12,5 тысяч устройств, а одна реализация позволит развернуть систему для нужд ста тысяч конечных пользователей. Проводившиеся тестирования в сети на 6 тысяч устройств, микроагент повысил трафик на 0,6%. Его можно разворачивать в явном (пиктограмма) или скрытном (нет индикации и изменения производительности) режимах.
Пользователи смогут увидеть процессы Dtex, но предусмотрен ряд сервисов, берегущих их остановки. Микроагент корректно работает с Windows для серверов и настольных компьютеров. Производится сбор метаданных об использовании папок, файлов, запуске приложений, интернет-активности. Опционально после установки синхронизации с сервером активируется процесс, анонимизирующий метаданные. Это позволяет скрывать данные аккаунта, фирм и другие реквизиты, которые могут помочь в идентификации пользователя. Данные без маскировки хранятся в базе данных, доступ к которой получают только пользователи, обладающие необходимыми правами.
Кэширование и шифрование собранных металанных производится локально, а частоту отправки информации серверу может настраиваться. Если связь с сервером будет потеряна, то процесс будет продолжаться вплоть до ее восстановления. Предпочтение принципу шифрования отдает администратор. Реализация системы осуществляется в 4 серверных уровня.
Установка Dtex Enterprise Server может быть произведена на физическом или виртуальном варианте Windows Server 2003-2012, обычно это занимает несколько часов. Обеспечивается поддержка большинства известных корпоративных платформ баз данных, но чаще всего для этой цели используется SQL Server 2012 от Майкрософт. К 2018 году планируется осуществлять наблюдение за пользовательской активностью на 80% устройств.