Контакты
Подписка 2022
МЕНЮ
Контакты
Подписка

Главные обновления "СерчИнформ КИБ"

Алексей Парфентьев, 30/08/22

Использование организацией DLP-системы сейчас – это как ношение шлема велосипедистом в Бангкоке. Экономическая, политическая ситуация действует как катализатор инцидентов, среди их последствий, кроме финансового и имиджевого ущерба, скорее всего, окажется и нарушение комплаенса. А тем временем оборотный штраф за утечки ПДн становится все более реальной перспективой. Если вы задумали в этой ситуации внедрять DLP, “СерчИнформ КИБ” с большой вероятностью войдет в число систем, которые вы будете тестировать.

Автор: Алексей Парфентьев, руководитель отдела аналитики “СерчИнформ”

"СерчИнформ КИБ" – зрелая система, одна из самых популярных в классе DLP. Это отечественный продукт модульного исполнения, контролирующий все популярные каналы передачи информации, в том числе актуальные мессенджеры и удаленные соединения. DLP имеет сильный самописный движок, благодаря которому можно найти и проанализировать любую информацию. Софт экономичен: он нетребователен к железу, что сейчас крайне актуально, а в обучении и настройке поможет отдел внедрения и инженеры, которые снимут много головной боли со штатного ИБ-специалиста.

Расскажем, как мы обновили КИБ за последний год по запросам заказчиков.

Импортозамещение

КИБ может контролировать ПК на базе российских ОС Astra Linux, Ред ОС, GosLinux, Rosa Linux, Alt Linux, Runtu и др., совместимость подтверждается сертификатами и проверяется разработчиками DLP и OC совместно для каждой новой версии. Например, в феврале 2022 г. "СерчИнформ КИБ" получил сертификаты совместимости с Astra Linux версии 2.12 (релиз "Орел") и с "Ред ОС" версии 7.3. В 2021 г. мы уравняли возможности контроля Windows- и Linux-инфраструктур. Конкретные наборы инструментов КИБ для разных систем могут различаться, однако в целом можно говорить, что для контроля ПК на отечественных ОС теперь доступна функциональность всех модулей КИБ.

Контроль MacOS

Мы выпустили агент DLP-системы "СерчИнформ КИБ" для контроля рабочих станций под управлением macOS. Для таких устройств доступны все функции КИБ, в том числе позволяющие контролировать активность сотрудников за ПК и расследовать инциденты. Доступен также продвинутый функционал в составе DLP: карточки пользователей, инцидент-менеджмент, более 30 шаблонов отчетов. Усилить защиту помогает интеграция с инструментами КИБ, которые не зависят от платформы, – почтовым карантином и сервисом контроля веб-трафика, реализованным на уровне взаимодействия с почтовым или proxy-сервером. Такая связка минимизирует большинство рисков утечки данных.

Блокировки

В связи с массовой удаленкой запрос на проактивный функционал в DLP вырос. Поэтому мы расширили возможности блокировок, а заодно переработали их механизм. Блокировки могут работать как по контенту (содержимому), так и по контексту (атрибутам и свойствам данных), причем анализ теперь осуществляется в конечных точках. Это повышает быстродействие запретов, так как не требуется обработка данных на сервере.

Вот только некоторые из них.

  1. Блокировки в веб – невозможность выгрузить файлы на выбранные сайты или категории сайтов. Эта блокировка позволяет, например, запретить попытки прикрепить к вложениям некорпоративной (веб) почты рабочие документы с конфиденциальным содержимым или выложить корпоративные секреты в переписке в соцсети.
  2. Блокировки печати – запрет распечатки документов с заданным содержимым, в том числе по изображению, распознанному OCR. Настроить запреты можно гибко: по пользователю или группе, ПК, принтеру, запущенному процессу.
  3. Блокировки текста, файлов в мессенджерах. В Zoom, Slack, Telegram и WhatsApp можно запретить отправку файлов выбранных форматов, расширений и с заданным содержимым. Например, если в правиле настроен запрет на отправку файлов с текстом "коммерческое предложение" в мессенджере, пользователь не сможет прикрепить такой документ к вложению в чате (см. рис. 1).


Рис. 1. Блокировки в "СерчИнформ КИБ"

Для всех перечисленных мессенджеров (пока кроме WhatsApp) также доступна блокировка отправки текстовых сообщений с заданным содержанием. Сообщение, содержащее запрещенный контент, придет адресату в нечитаемом виде.

Контроль фотографирования экрана

Еще одна важная новинка, которую ждали многие заказчики: "СерчИнформ КИБ" научился распознавать инциденты, связанные с попытками украсть важные данные через фото на телефон. Искусственный интеллект анализирует данные с веб-камер пользователей и сигнализирует в случае распознавания смартфонов. В КИБ можно посмотреть, какой процесс был запущен в момент съемки (например, была открыта база данных клиентов), чтобы с высокой вероятностью выявить, имел ли место слив через фото экрана (см. рис. 2).


Рис. 2. Распознавание съемки экрана

Интеграция с SOC

В компаниях, которые используют SOC, появилась возможность работать с инцидентами КИБ непосредственно в консоли операционного центра. Теперь прямо из КИБ можно настроить автоматическую передачу инцидентов в RVision и ГосСОПКА по нужным критериям. Например, при нарушении политик безопасности по работе с ПДн.

Мобильный доступ к функционалу КИБ

В КИБ появилась новая веб-консоль с расширенными возможностями: например, в режиме онлайн теперь можно не только просматривать инциденты, но и создавать политики безопасности. Изменился интерфейс: отчеты стали нагляднее и визуально проще.

В веб-консоли добавился функционал десктопной Консоли аналитика. Поэтому теперь можно провести расследование онлайн с любого устройства.

Контроль авторизаций и карточка пользователя

В десктопной версии КИБ стало больше отчетов, в частности о самых популярных процессах и сайтах c авторизацией, активных у пользователей в заданный период.

Другой отчет, "Авторизации на сервисах", показывает учетные записи, которыми сотрудники пользовались на работе в заданный период. Заодно здесь видно, насколько сложными паролями защищены аккаунты. Если на стороннем сервисе установлен такой же пароль, как в Active Directory, система об этом предупредит. Отчет также отображает еще один маркер возможной угрозы – ситуацию, когда пользователь логинится под чужими учетными данными (см. рис. 3).


Рис. 3. Отчет "Авторизации на сервисах"

Кроме того, информация из отчетов по каждому сотруднику доступна в Карточках пользователей – это еще одно нововведение в КИБ. В карточке ИБ-специалист сможет увидеть всю информацию о сотруднике: краткую биографию, учетные данные, архив связанных инцидентов.

Быстродействие карантина

В КИБ обновился карантин, теперь он проверяет почтовый трафик на выделенном движке, не задействуя основные мощности системы. Правила проверки писем теперь можно легко задать с помощью шаблонов, а при их срабатывании – инициировать запуск внешнего скрипта для немедленного реагирования на опасный инцидент.

Чтобы снизить нагрузку на сервер, можно исключить из карантина внутреннюю почту. В этом случае сотрудники смогут обмениваться письмами без ограничений, но только внутри компании.

Task Management

В КИБ появился планировщик задач для ИБ-отдела с удобным функционалом для ведения сложных расследований (см. рис. 4).


Рис. 4. Task Management

Task Management позволяет:

  • задать роли ИБ-аналитиков;
  • расставить задачам приоритеты;
  • объединять все улики;
  • вести досье на инсайдеров и их сообщников;
  • экспортировать результаты расследования.

Это далеко не полный перечень обновлений. Формат статьи не позволяет рассказать о разнообразии GUI-функционала и возможностях, которые дают интеграции DLP по API. Смотрите видео о том, как работают важнейшие функции КИБ, и тестируйте их бесплатно.

Темы:DLPSearchInformЖурнал "Информационная безопасность" №3, 2022КИБ
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

More...