Обновленную DLP-систему InfoWatch Traffic Monitor представили на PHDays

На киберфестивале Positive Hack Days 12 была представлена обновленная версия DLP-системы нового поколения InfoWatch Traffic Monitor 7.7, необходимая для контроля действий с конфиденциальной информацией. Ее выход способен существенно усилить защиту от инцидентов за счет поддержки новых сценариев работы, которые не реализованы ни в одной другой системе. В версии 7.7 используется новый подход к защите данных, при котором InfoWatch Traffic Monitor контролирует не только передачу и вывод информации по различным каналам, но и сам факт работы сотрудника с ней, что до сих пор оставалось серой зоной для DLP-систем.

Главная цель обновлений — ответ на возросшие угрозы ИБ. Их мониторинг осуществляется аналитиками компании, работающими в тесном взаимодействии с разработчиками продуктов, которые модифицируют защиту согласно последним трендам. Так, согласно последнему исследованию ЭАЦ InfoWatch, за прошедший год количество утечек данных в мире увеличилось в 3,5 раза, а защищенность организаций от действий злоумышленников напрямую зависит от уровня развития инструментов информационной безопасности и возможностей по контролю за нежелательными действиями с информацией.

«Одно из ключевых нововведений DLP-системы — возможность InfoWatch Traffic Monitor 7.7 фиксировать не только передачу конфиденциальных данных по привычным каналам, но и факт просмотра информации, чувствительной с точки зрения требований к конфиденциальности, сотрудником на мониторе компьютера. Зачастую это является признаком будущей утечки — сотрудник может сфотографировать, переписать и просто запомнить просматриваемые данные. Имеется возможность настройки мониторинга на включение при работе с конкретными бизнес-приложениями — системами учета, документооборота или управления, которые могут содержать чувствительные данные», — отметил директор департамента развития продуктов ГК InfoWatch Рустам Фаррахов.

Важно отметить, что подобные события остаются вне зоны видимости традиционных DLP-систем, но с выходом последней версии InfoWatch Traffic Monitor — DLP-системы нового поколения — они будут фиксироваться, что должно предотвратить множество инцидентов.

В InfoWatch Traffic Monitor 7.7 задействована технология определения допустимости получателя данных, которая не имеет аналогов. Благодаря этому политики DLP-системы можно настроить таким образом, чтобы не пропустить опасные инциденты и, одновременно, не затормозить бизнес-процессы, так как решение о возможности передачи информации принимается автоматически — с учетом наличия либо отсутствия связи конкретных данных с определенным получателем. Это открывает возможности для реализации различных сценариев контроля передачи информации. Например, допускать отправку персональных данных только их субъекту или разрешать передачу конфиденциальной информации только в адрес контрагента, с которым заключено соглашение о неразглашении. По словам разработчиков, это позволило сделать новый шаг в сторону автоматизации решения задач, поскольку решения о легитимности получателя DLP-система может принимать самостоятельно.

Специалисты InfoWatch также учли вариант использования корпоративной почты на пользовательском устройстве — этот канал, который до сих пор не контролировался DLP-системами, теперь под контролем. В частности, если пользователь не пересылает письмо, а открывает его черновик на своем смартфоне, чтобы сохранить файл с конфиденциальной информацией в памяти устройства, то система InfoWatch Traffic Monitor 7.7 зафиксирует это действие и поможет предотвратить утечку.

Среди других важных нововведений DLP-системы:

• Механизм расшифровки и анализа запароленных архивов — система помещает письмо на карантин, самостоятельно запрашивает пароль у отправителя, расшифровывает и анализирует его содержимое, принимает решение о допустимости передачи;
• Возможность разграничения доступа к персональным данным для различных подразделений компании. В результате сотрудники будут видеть только ту информацию, которая необходима им для выполнения своей работы;
• Поддержка СУБД Postgres Pro Enterprise, которая позволяет перевести работу DLP на российскую сертифицированную СУБД;
• Расширение функциональности в среде ОС Linux — появление настройки перехвата мессенджера Telegram, запрета применения съёмных устройств и блокировки трафика HTTP(S) при срабатывании DLP-системы;
• Поддержка актуальных ядер для ОС «Альт».

В обновленном модуле визуальной аналитики InfoWatch Vision 3.0 появился новый раздел «Расследования», позволяющий объединить всю требуемую для их проведения информацию в одном рабочем пространстве, а также добавить комментарии, вести учет и историю операций. Это особенно актуально, если с системой работают несколько сотрудников.

«Здесь ИБ-специалисты могут собирать все данные о событиях, персонах, документах и т.д., относящиеся к произошедшему или предполагаемому инциденту. Это необходимо для проведения расследования, совместной работы с коллегами и подготовки отчетов прямо в системе, без необходимости использовать сторонние средства», — подчеркнул Рустам Фаррахов.

В числе функций редактора расследований:

• Добавление событий DLP-системы из InfoWatch Vision и их рассмотрение.
• Добавление досье на всех персон, связанных с инцидентом.
• Прикрепление файлов и изображений.
• Добавление заметок и комментариев.
• Изменение структуры отчета по расследованию.
• Вывод на печать.

Особенной популярностью на Positive Hack Days 12 пользовался стенд ГК InfoWatch, где транслировались презентационные материалы компании и происходило живое общение с ее потенциальными клиентами и журналистами. Новый подход к предотвращению злоупотреблений информацией и возможности продуктов, продемонстрированные на стенде, вызвали положительный отклик специалистов по ИБ. Не в последнюю очередь это произошло потому, что теме утечек в настоящее время уделяется пристальное внимание — как со стороны регуляторов, так и со стороны бизнеса.