07/03/25
DLP-система «СёрчИнформ КИБ» дополнила возможности почтового карантина. Служба может останавливать письма с вложенными файлами, если они содержат метки DCAP «СёрчИнформ FileAuditor». Контроль работает на уровне почтового сервера. Это предотвратит утечку конфиденциальных файлов, даже если почтовый клиент – некорпоративное устройство, где нет агентов DLP или DCAP-систем.
Системы тратят меньше ресурсов на контроль: КИБ не нужно анализировать вложения на наличие запрещенного контента – информация об этом «зашита» в метку DCAP. Карантин считывает хэш прикрепленного к письму файла и отправляет в FileAuditor. FileAuditor быстро сверяет полученную хэш-сумму с базой и сообщает о нужной метке. Это работает, даже если вложенный файл ее не содержит, но ранее такой же документ попадал под классификацию в любом корпоративном хранилище.
В итоге, когда сотрудник отправит письмо с конфиденциальным файлом, оно изолируется в карантине, а ИБ-специалист получит уведомление об инциденте.
«Через почту происходит 53% всех утечек информации. Поэтому к ее контролю нужен особый подход. Нужно быстро выявлять инциденты в большом потоке писем и реагировать на них так, чтобы не тормозить бизнес-процессы, – говорит Алексей Парфентьев, заместитель генерального директора по инновационной деятельности «СёрчИнформ». – Поэтому мы перевели службу карантина на почтовый сервер: так ИБ-специалисты смогут контролировать письма, отправленные с любого устройства. По меткам FileAuditor карантин быстрее выявляет письма с конфиденциальными вложениями, чтобы их остановить. Новая реализация снижает нагрузку на DLP и DCAP, так как обе системы работают с хэш-суммами вложенных в письма файлов».
