Главные обновления "СерчИнформ КИБ"
Алексей Парфентьев, 30/08/22
Использование организацией DLP-системы сейчас – это как ношение шлема велосипедистом в Бангкоке. Экономическая, политическая ситуация действует как катализатор инцидентов, среди их последствий, кроме финансового и имиджевого ущерба, скорее всего, окажется и нарушение комплаенса. А тем временем оборотный штраф за утечки ПДн становится все более реальной перспективой. Если вы задумали в этой ситуации внедрять DLP, “СерчИнформ КИБ” с большой вероятностью войдет в число систем, которые вы будете тестировать.
Автор: Алексей Парфентьев, руководитель отдела аналитики “СерчИнформ”
"СерчИнформ КИБ" – зрелая система, одна из самых популярных в классе DLP. Это отечественный продукт модульного исполнения, контролирующий все популярные каналы передачи информации, в том числе актуальные мессенджеры и удаленные соединения. DLP имеет сильный самописный движок, благодаря которому можно найти и проанализировать любую информацию. Софт экономичен: он нетребователен к железу, что сейчас крайне актуально, а в обучении и настройке поможет отдел внедрения и инженеры, которые снимут много головной боли со штатного ИБ-специалиста.
Расскажем, как мы обновили КИБ за последний год по запросам заказчиков.
Импортозамещение
КИБ может контролировать ПК на базе российских ОС Astra Linux, Ред ОС, GosLinux, Rosa Linux, Alt Linux, Runtu и др., совместимость подтверждается сертификатами и проверяется разработчиками DLP и OC совместно для каждой новой версии. Например, в феврале 2022 г. "СерчИнформ КИБ" получил сертификаты совместимости с Astra Linux версии 2.12 (релиз "Орел") и с "Ред ОС" версии 7.3. В 2021 г. мы уравняли возможности контроля Windows- и Linux-инфраструктур. Конкретные наборы инструментов КИБ для разных систем могут различаться, однако в целом можно говорить, что для контроля ПК на отечественных ОС теперь доступна функциональность всех модулей КИБ.
Контроль MacOS
Мы выпустили агент DLP-системы "СерчИнформ КИБ" для контроля рабочих станций под управлением macOS. Для таких устройств доступны все функции КИБ, в том числе позволяющие контролировать активность сотрудников за ПК и расследовать инциденты. Доступен также продвинутый функционал в составе DLP: карточки пользователей, инцидент-менеджмент, более 30 шаблонов отчетов. Усилить защиту помогает интеграция с инструментами КИБ, которые не зависят от платформы, – почтовым карантином и сервисом контроля веб-трафика, реализованным на уровне взаимодействия с почтовым или proxy-сервером. Такая связка минимизирует большинство рисков утечки данных.
Блокировки
В связи с массовой удаленкой запрос на проактивный функционал в DLP вырос. Поэтому мы расширили возможности блокировок, а заодно переработали их механизм. Блокировки могут работать как по контенту (содержимому), так и по контексту (атрибутам и свойствам данных), причем анализ теперь осуществляется в конечных точках. Это повышает быстродействие запретов, так как не требуется обработка данных на сервере.
Вот только некоторые из них.
- Блокировки в веб – невозможность выгрузить файлы на выбранные сайты или категории сайтов. Эта блокировка позволяет, например, запретить попытки прикрепить к вложениям некорпоративной (веб) почты рабочие документы с конфиденциальным содержимым или выложить корпоративные секреты в переписке в соцсети.
- Блокировки печати – запрет распечатки документов с заданным содержимым, в том числе по изображению, распознанному OCR. Настроить запреты можно гибко: по пользователю или группе, ПК, принтеру, запущенному процессу.
- Блокировки текста, файлов в мессенджерах. В Zoom, Slack, Telegram и WhatsApp можно запретить отправку файлов выбранных форматов, расширений и с заданным содержимым. Например, если в правиле настроен запрет на отправку файлов с текстом "коммерческое предложение" в мессенджере, пользователь не сможет прикрепить такой документ к вложению в чате (см. рис. 1).
Рис. 1. Блокировки в "СерчИнформ КИБ"
Для всех перечисленных мессенджеров (пока кроме WhatsApp) также доступна блокировка отправки текстовых сообщений с заданным содержанием. Сообщение, содержащее запрещенный контент, придет адресату в нечитаемом виде.
Контроль фотографирования экрана
Еще одна важная новинка, которую ждали многие заказчики: "СерчИнформ КИБ" научился распознавать инциденты, связанные с попытками украсть важные данные через фото на телефон. Искусственный интеллект анализирует данные с веб-камер пользователей и сигнализирует в случае распознавания смартфонов. В КИБ можно посмотреть, какой процесс был запущен в момент съемки (например, была открыта база данных клиентов), чтобы с высокой вероятностью выявить, имел ли место слив через фото экрана (см. рис. 2).
Рис. 2. Распознавание съемки экрана
Интеграция с SOC
В компаниях, которые используют SOC, появилась возможность работать с инцидентами КИБ непосредственно в консоли операционного центра. Теперь прямо из КИБ можно настроить автоматическую передачу инцидентов в RVision и ГосСОПКА по нужным критериям. Например, при нарушении политик безопасности по работе с ПДн.
Мобильный доступ к функционалу КИБ
В КИБ появилась новая веб-консоль с расширенными возможностями: например, в режиме онлайн теперь можно не только просматривать инциденты, но и создавать политики безопасности. Изменился интерфейс: отчеты стали нагляднее и визуально проще.
В веб-консоли добавился функционал десктопной Консоли аналитика. Поэтому теперь можно провести расследование онлайн с любого устройства.
Контроль авторизаций и карточка пользователя
В десктопной версии КИБ стало больше отчетов, в частности о самых популярных процессах и сайтах c авторизацией, активных у пользователей в заданный период.
Другой отчет, "Авторизации на сервисах", показывает учетные записи, которыми сотрудники пользовались на работе в заданный период. Заодно здесь видно, насколько сложными паролями защищены аккаунты. Если на стороннем сервисе установлен такой же пароль, как в Active Directory, система об этом предупредит. Отчет также отображает еще один маркер возможной угрозы – ситуацию, когда пользователь логинится под чужими учетными данными (см. рис. 3).
Рис. 3. Отчет "Авторизации на сервисах"
Кроме того, информация из отчетов по каждому сотруднику доступна в Карточках пользователей – это еще одно нововведение в КИБ. В карточке ИБ-специалист сможет увидеть всю информацию о сотруднике: краткую биографию, учетные данные, архив связанных инцидентов.
Быстродействие карантина
В КИБ обновился карантин, теперь он проверяет почтовый трафик на выделенном движке, не задействуя основные мощности системы. Правила проверки писем теперь можно легко задать с помощью шаблонов, а при их срабатывании – инициировать запуск внешнего скрипта для немедленного реагирования на опасный инцидент.
Чтобы снизить нагрузку на сервер, можно исключить из карантина внутреннюю почту. В этом случае сотрудники смогут обмениваться письмами без ограничений, но только внутри компании.
Task Management
В КИБ появился планировщик задач для ИБ-отдела с удобным функционалом для ведения сложных расследований (см. рис. 4).
Рис. 4. Task Management
Task Management позволяет:
- задать роли ИБ-аналитиков;
- расставить задачам приоритеты;
- объединять все улики;
- вести досье на инсайдеров и их сообщников;
- экспортировать результаты расследования.
Это далеко не полный перечень обновлений. Формат статьи не позволяет рассказать о разнообразии GUI-функционала и возможностях, которые дают интеграции DLP по API. Смотрите видео о том, как работают важнейшие функции КИБ, и тестируйте их бесплатно.