Контакты
Подписка 2024
Статьи по информационной безопасности

Главные обновления "СерчИнформ КИБ"

Алексей Парфентьев, 30/08/22

Использование организацией DLP-системы сейчас – это как ношение шлема велосипедистом в Бангкоке. Экономическая, политическая ситуация действует как катализатор инцидентов, среди их последствий, кроме финансового и имиджевого ущерба, скорее всего, окажется и нарушение комплаенса. А тем временем оборотный штраф за утечки ПДн становится все более реальной перспективой. Если вы задумали в этой ситуации внедрять DLP, “СерчИнформ КИБ” с большой вероятностью войдет в число систем, которые вы будете тестировать.

Автор: Алексей Парфентьев, руководитель отдела аналитики “СерчИнформ”

"СерчИнформ КИБ" – зрелая система, одна из самых популярных в классе DLP. Это отечественный продукт модульного исполнения, контролирующий все популярные каналы передачи информации, в том числе актуальные мессенджеры и удаленные соединения. DLP имеет сильный самописный движок, благодаря которому можно найти и проанализировать любую информацию. Софт экономичен: он нетребователен к железу, что сейчас крайне актуально, а в обучении и настройке поможет отдел внедрения и инженеры, которые снимут много головной боли со штатного ИБ-специалиста.

Расскажем, как мы обновили КИБ за последний год по запросам заказчиков.

Импортозамещение

КИБ может контролировать ПК на базе российских ОС Astra Linux, Ред ОС, GosLinux, Rosa Linux, Alt Linux, Runtu и др., совместимость подтверждается сертификатами и проверяется разработчиками DLP и OC совместно для каждой новой версии. Например, в феврале 2022 г. "СерчИнформ КИБ" получил сертификаты совместимости с Astra Linux версии 2.12 (релиз "Орел") и с "Ред ОС" версии 7.3. В 2021 г. мы уравняли возможности контроля Windows- и Linux-инфраструктур. Конкретные наборы инструментов КИБ для разных систем могут различаться, однако в целом можно говорить, что для контроля ПК на отечественных ОС теперь доступна функциональность всех модулей КИБ.

Контроль MacOS

Мы выпустили агент DLP-системы "СерчИнформ КИБ" для контроля рабочих станций под управлением macOS. Для таких устройств доступны все функции КИБ, в том числе позволяющие контролировать активность сотрудников за ПК и расследовать инциденты. Доступен также продвинутый функционал в составе DLP: карточки пользователей, инцидент-менеджмент, более 30 шаблонов отчетов. Усилить защиту помогает интеграция с инструментами КИБ, которые не зависят от платформы, – почтовым карантином и сервисом контроля веб-трафика, реализованным на уровне взаимодействия с почтовым или proxy-сервером. Такая связка минимизирует большинство рисков утечки данных.

Блокировки

В связи с массовой удаленкой запрос на проактивный функционал в DLP вырос. Поэтому мы расширили возможности блокировок, а заодно переработали их механизм. Блокировки могут работать как по контенту (содержимому), так и по контексту (атрибутам и свойствам данных), причем анализ теперь осуществляется в конечных точках. Это повышает быстродействие запретов, так как не требуется обработка данных на сервере.

Вот только некоторые из них.

  1. Блокировки в веб – невозможность выгрузить файлы на выбранные сайты или категории сайтов. Эта блокировка позволяет, например, запретить попытки прикрепить к вложениям некорпоративной (веб) почты рабочие документы с конфиденциальным содержимым или выложить корпоративные секреты в переписке в соцсети.
  2. Блокировки печати – запрет распечатки документов с заданным содержимым, в том числе по изображению, распознанному OCR. Настроить запреты можно гибко: по пользователю или группе, ПК, принтеру, запущенному процессу.
  3. Блокировки текста, файлов в мессенджерах. В Zoom, Slack, Telegram и WhatsApp можно запретить отправку файлов выбранных форматов, расширений и с заданным содержимым. Например, если в правиле настроен запрет на отправку файлов с текстом "коммерческое предложение" в мессенджере, пользователь не сможет прикрепить такой документ к вложению в чате (см. рис. 1).


Рис. 1. Блокировки в "СерчИнформ КИБ"

Для всех перечисленных мессенджеров (пока кроме WhatsApp) также доступна блокировка отправки текстовых сообщений с заданным содержанием. Сообщение, содержащее запрещенный контент, придет адресату в нечитаемом виде.

Контроль фотографирования экрана

Еще одна важная новинка, которую ждали многие заказчики: "СерчИнформ КИБ" научился распознавать инциденты, связанные с попытками украсть важные данные через фото на телефон. Искусственный интеллект анализирует данные с веб-камер пользователей и сигнализирует в случае распознавания смартфонов. В КИБ можно посмотреть, какой процесс был запущен в момент съемки (например, была открыта база данных клиентов), чтобы с высокой вероятностью выявить, имел ли место слив через фото экрана (см. рис. 2).


Рис. 2. Распознавание съемки экрана

Интеграция с SOC

В компаниях, которые используют SOC, появилась возможность работать с инцидентами КИБ непосредственно в консоли операционного центра. Теперь прямо из КИБ можно настроить автоматическую передачу инцидентов в RVision и ГосСОПКА по нужным критериям. Например, при нарушении политик безопасности по работе с ПДн.

Мобильный доступ к функционалу КИБ

В КИБ появилась новая веб-консоль с расширенными возможностями: например, в режиме онлайн теперь можно не только просматривать инциденты, но и создавать политики безопасности. Изменился интерфейс: отчеты стали нагляднее и визуально проще.

В веб-консоли добавился функционал десктопной Консоли аналитика. Поэтому теперь можно провести расследование онлайн с любого устройства.

Контроль авторизаций и карточка пользователя

В десктопной версии КИБ стало больше отчетов, в частности о самых популярных процессах и сайтах c авторизацией, активных у пользователей в заданный период.

Другой отчет, "Авторизации на сервисах", показывает учетные записи, которыми сотрудники пользовались на работе в заданный период. Заодно здесь видно, насколько сложными паролями защищены аккаунты. Если на стороннем сервисе установлен такой же пароль, как в Active Directory, система об этом предупредит. Отчет также отображает еще один маркер возможной угрозы – ситуацию, когда пользователь логинится под чужими учетными данными (см. рис. 3).


Рис. 3. Отчет "Авторизации на сервисах"

Кроме того, информация из отчетов по каждому сотруднику доступна в Карточках пользователей – это еще одно нововведение в КИБ. В карточке ИБ-специалист сможет увидеть всю информацию о сотруднике: краткую биографию, учетные данные, архив связанных инцидентов.

Быстродействие карантина

В КИБ обновился карантин, теперь он проверяет почтовый трафик на выделенном движке, не задействуя основные мощности системы. Правила проверки писем теперь можно легко задать с помощью шаблонов, а при их срабатывании – инициировать запуск внешнего скрипта для немедленного реагирования на опасный инцидент.

Чтобы снизить нагрузку на сервер, можно исключить из карантина внутреннюю почту. В этом случае сотрудники смогут обмениваться письмами без ограничений, но только внутри компании.

Task Management

В КИБ появился планировщик задач для ИБ-отдела с удобным функционалом для ведения сложных расследований (см. рис. 4).


Рис. 4. Task Management

Task Management позволяет:

  • задать роли ИБ-аналитиков;
  • расставить задачам приоритеты;
  • объединять все улики;
  • вести досье на инсайдеров и их сообщников;
  • экспортировать результаты расследования.

Это далеко не полный перечень обновлений. Формат статьи не позволяет рассказать о разнообразии GUI-функционала и возможностях, которые дают интеграции DLP по API. Смотрите видео о том, как работают важнейшие функции КИБ, и тестируйте их бесплатно.
Темы:DLPSearchInformЖурнал "Информационная безопасность" №3, 2022КИБ

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024
Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • SIEM – мастхэв в защите организации: разбираем на примере задач
    Павел Пугач, системный аналитик “СёрчИнформ”
    SIEM – мастхэв-инструмент для обнаружения потенциальных угроз. Система полезна крупному бизнесу, субъектам КИИ, операторам ПДн и другим организациям. В некоторых отраслях внедрение SIEM-системы – требование регуляторов.
  • DLP для эффективной работы с рисками информационной и кадровой безопасности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    Нерациональное поведение и ошибки людей – основные слабые стороны, выявляемые в инцидентах безопасности, создающие репутационные риски и являющиеся причинами высоких затрат. Как в решении данной проблемы может помочь DLP?
  • О физиках, лириках и флешках
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Техническая задача защиты флешки сводится к тому, чтобы сделать нелегальное физическое обладание ею бессмысленным. Эта задача решена в защищенной флешке “Секрет Особого Назначения”. Коротко рассмотрим, как.
  • Next Generation DLP. Поспорим о терминах
    Владимир Ульянов, руководитель аналитического центра Zecurion
    Совместное использования DLP и DCAP - это и есть идея DLP следующего поколения: соединить части, которые были искусственно разделены для обеспечения безопасности данных.
  • Атакующий дебют: разбор неразмеченных событий в DLP
    ИИ, машинное обучение и когнитивные технологии для автоматизации работы с большими данными – это не хайп, а реальный инструмент для анализа и классификации большого объема информации, выявления непостижимых для человеческого мозга связей и закономерностей.
  • DLP: маловато будет. Защита персональных данных на протяжении всего жизненного цикла
    Рустэм Хайретдинов, заместитель генерального директора группы компаний “Гарда”
    При защите персональных данных самые мощные аналитические инструменты DLP-систем – контентный анализ и "цифровые отпечатки" недостаточно эффективны.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
23 мая. Инструменты миграции на защищенный Linux
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2024, ООО "ГРОТЕК"