Контакты
Подписка 2025

Главные обновления "СерчИнформ КИБ"

Алексей Парфентьев, 30/08/22

Использование организацией DLP-системы сейчас – это как ношение шлема велосипедистом в Бангкоке. Экономическая, политическая ситуация действует как катализатор инцидентов, среди их последствий, кроме финансового и имиджевого ущерба, скорее всего, окажется и нарушение комплаенса. А тем временем оборотный штраф за утечки ПДн становится все более реальной перспективой. Если вы задумали в этой ситуации внедрять DLP, “СерчИнформ КИБ” с большой вероятностью войдет в число систем, которые вы будете тестировать.

Автор: Алексей Парфентьев, руководитель отдела аналитики “СерчИнформ”

"СерчИнформ КИБ" – зрелая система, одна из самых популярных в классе DLP. Это отечественный продукт модульного исполнения, контролирующий все популярные каналы передачи информации, в том числе актуальные мессенджеры и удаленные соединения. DLP имеет сильный самописный движок, благодаря которому можно найти и проанализировать любую информацию. Софт экономичен: он нетребователен к железу, что сейчас крайне актуально, а в обучении и настройке поможет отдел внедрения и инженеры, которые снимут много головной боли со штатного ИБ-специалиста.

Расскажем, как мы обновили КИБ за последний год по запросам заказчиков.

Импортозамещение

КИБ может контролировать ПК на базе российских ОС Astra Linux, Ред ОС, GosLinux, Rosa Linux, Alt Linux, Runtu и др., совместимость подтверждается сертификатами и проверяется разработчиками DLP и OC совместно для каждой новой версии. Например, в феврале 2022 г. "СерчИнформ КИБ" получил сертификаты совместимости с Astra Linux версии 2.12 (релиз "Орел") и с "Ред ОС" версии 7.3. В 2021 г. мы уравняли возможности контроля Windows- и Linux-инфраструктур. Конкретные наборы инструментов КИБ для разных систем могут различаться, однако в целом можно говорить, что для контроля ПК на отечественных ОС теперь доступна функциональность всех модулей КИБ.

Контроль MacOS

Мы выпустили агент DLP-системы "СерчИнформ КИБ" для контроля рабочих станций под управлением macOS. Для таких устройств доступны все функции КИБ, в том числе позволяющие контролировать активность сотрудников за ПК и расследовать инциденты. Доступен также продвинутый функционал в составе DLP: карточки пользователей, инцидент-менеджмент, более 30 шаблонов отчетов. Усилить защиту помогает интеграция с инструментами КИБ, которые не зависят от платформы, – почтовым карантином и сервисом контроля веб-трафика, реализованным на уровне взаимодействия с почтовым или proxy-сервером. Такая связка минимизирует большинство рисков утечки данных.

Блокировки

В связи с массовой удаленкой запрос на проактивный функционал в DLP вырос. Поэтому мы расширили возможности блокировок, а заодно переработали их механизм. Блокировки могут работать как по контенту (содержимому), так и по контексту (атрибутам и свойствам данных), причем анализ теперь осуществляется в конечных точках. Это повышает быстродействие запретов, так как не требуется обработка данных на сервере.

Вот только некоторые из них.

  1. Блокировки в веб – невозможность выгрузить файлы на выбранные сайты или категории сайтов. Эта блокировка позволяет, например, запретить попытки прикрепить к вложениям некорпоративной (веб) почты рабочие документы с конфиденциальным содержимым или выложить корпоративные секреты в переписке в соцсети.
  2. Блокировки печати – запрет распечатки документов с заданным содержимым, в том числе по изображению, распознанному OCR. Настроить запреты можно гибко: по пользователю или группе, ПК, принтеру, запущенному процессу.
  3. Блокировки текста, файлов в мессенджерах. В Zoom, Slack, Telegram и WhatsApp можно запретить отправку файлов выбранных форматов, расширений и с заданным содержимым. Например, если в правиле настроен запрет на отправку файлов с текстом "коммерческое предложение" в мессенджере, пользователь не сможет прикрепить такой документ к вложению в чате (см. рис. 1).


Рис. 1. Блокировки в "СерчИнформ КИБ"

Для всех перечисленных мессенджеров (пока кроме WhatsApp) также доступна блокировка отправки текстовых сообщений с заданным содержанием. Сообщение, содержащее запрещенный контент, придет адресату в нечитаемом виде.

Контроль фотографирования экрана

Еще одна важная новинка, которую ждали многие заказчики: "СерчИнформ КИБ" научился распознавать инциденты, связанные с попытками украсть важные данные через фото на телефон. Искусственный интеллект анализирует данные с веб-камер пользователей и сигнализирует в случае распознавания смартфонов. В КИБ можно посмотреть, какой процесс был запущен в момент съемки (например, была открыта база данных клиентов), чтобы с высокой вероятностью выявить, имел ли место слив через фото экрана (см. рис. 2).


Рис. 2. Распознавание съемки экрана

Интеграция с SOC

В компаниях, которые используют SOC, появилась возможность работать с инцидентами КИБ непосредственно в консоли операционного центра. Теперь прямо из КИБ можно настроить автоматическую передачу инцидентов в RVision и ГосСОПКА по нужным критериям. Например, при нарушении политик безопасности по работе с ПДн.

Мобильный доступ к функционалу КИБ

В КИБ появилась новая веб-консоль с расширенными возможностями: например, в режиме онлайн теперь можно не только просматривать инциденты, но и создавать политики безопасности. Изменился интерфейс: отчеты стали нагляднее и визуально проще.

В веб-консоли добавился функционал десктопной Консоли аналитика. Поэтому теперь можно провести расследование онлайн с любого устройства.

Контроль авторизаций и карточка пользователя

В десктопной версии КИБ стало больше отчетов, в частности о самых популярных процессах и сайтах c авторизацией, активных у пользователей в заданный период.

Другой отчет, "Авторизации на сервисах", показывает учетные записи, которыми сотрудники пользовались на работе в заданный период. Заодно здесь видно, насколько сложными паролями защищены аккаунты. Если на стороннем сервисе установлен такой же пароль, как в Active Directory, система об этом предупредит. Отчет также отображает еще один маркер возможной угрозы – ситуацию, когда пользователь логинится под чужими учетными данными (см. рис. 3).


Рис. 3. Отчет "Авторизации на сервисах"

Кроме того, информация из отчетов по каждому сотруднику доступна в Карточках пользователей – это еще одно нововведение в КИБ. В карточке ИБ-специалист сможет увидеть всю информацию о сотруднике: краткую биографию, учетные данные, архив связанных инцидентов.

Быстродействие карантина

В КИБ обновился карантин, теперь он проверяет почтовый трафик на выделенном движке, не задействуя основные мощности системы. Правила проверки писем теперь можно легко задать с помощью шаблонов, а при их срабатывании – инициировать запуск внешнего скрипта для немедленного реагирования на опасный инцидент.

Чтобы снизить нагрузку на сервер, можно исключить из карантина внутреннюю почту. В этом случае сотрудники смогут обмениваться письмами без ограничений, но только внутри компании.

Task Management

В КИБ появился планировщик задач для ИБ-отдела с удобным функционалом для ведения сложных расследований (см. рис. 4).


Рис. 4. Task Management

Task Management позволяет:

  • задать роли ИБ-аналитиков;
  • расставить задачам приоритеты;
  • объединять все улики;
  • вести досье на инсайдеров и их сообщников;
  • экспортировать результаты расследования.

Это далеко не полный перечень обновлений. Формат статьи не позволяет рассказать о разнообразии GUI-функционала и возможностях, которые дают интеграции DLP по API. Смотрите видео о том, как работают важнейшие функции КИБ, и тестируйте их бесплатно.

Темы:DLPSearchInformЖурнал "Информационная безопасность" №3, 2022КИБ

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Инновации в DLP и DCAP и новые классы решений
    Эксперты в области систем для защиты от утечек поделились своим мнением о том, как развиваются решения классов DLP и DCAP и какие инновации появились в этом сегменте за последний год.
  • "Открытый контроль" как профилактика утечек информации. Что предлагают DLP?
    Алексей Дрозд, Директор учебного центра "СёрчИнформ"
    Исследование “СёрчИнформ” показало, что только 18% компаний в России оценивают уровень киберграмотности своих сотрудников как хороший.
  • Из DLP в DLP. Обзор развития российского рынка DCAP
    Владимир Ульянов, руководитель аналитического центра Zecurion
    DCAP долгое время находился в поисках своего места в сложной иерархии средств информационной безопасности. Он родился под названием DAG, конкурировал с такими альтернативами, как DSG и UDM, а как только обрел общепринятое название в рамках концепции DCAP, начал испытывать притязания со стороны старого союзника – DLP, вместе с которым защищал корпоративные данные еще до выделения в отдельный класс. Разберемся в истории развития DCAP и его перспективах.
  • ГК InfoWatch: как в 3 раза ускорить расследование инцидентов ИБ без дополнительной нагрузки на офицера безопасности
    Сергей Кузьмин, руководитель направления Центр расследований ГК InfoWatch
    С учетом того, как стремительно масштабируются DLP-системы и какой огромный массив данных генерирует каждый инструмент безопасности, защита информации требует к себе принципиально нового подхода. Рассмотрим, как снизить нагрузку на офицера безопасности, улучшить качество его работы и при этом в несколько раз увеличить скорость проведения расследований.
  • Безопасность как движущий фактор трансформации файлового обмена
    Владимир Емышев, директор по развитию ООО “МСОФТ”
    Представьте себе компанию, в которой сотрудники не используют компьютер. Сложно? Пожалуй, да. Вряд ли сегодня такая найдется. А теперь попробуйте представить, что люди, работающие c компьютером, не используют файлы. “Нереально!” – скажете вы и будете абсолютно правы. Файлы – настолько же привычная сущность, как водопровод в городской квартире или лифт в многоэтажке.
  • Только правильно внедренный DCAP дополняет DLP
    Роман Подкопаев, Генеральный директор компании Makves
    Последние несколько лет показали, что на безопасности нельзя экономить и о ней нужно думать заранее. Информационная безопасность начинается с безопасности данных. DCAP поможет навести порядок в файловых хранилищах и проследить за доступом к ним. Мы вновь беседуем с Романом Подкопаевым, генеральным директором компании Makves (входит в группу компаний “Гарда”).

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...