Центр расследований ГК InfoWatch: новое решение ускорит расследование инцидентов ИБ в три раза

ГК InfoWatch первой на рынке представила новую разработку для бизнеса в области защиты конфиденциальных данных – Центр расследований. Это интерфейсное решение, которое объединяет данные всей линейки InfoWatch по защите информации по принципу «одного окна». Такой подход к организации работы ИБ-специалистов позволяет проводить мониторинг трафика, анализ и расследование инцидентов на принципиально новом уровне погружения в данные и работать со всеми продуктами линейки InfoWatch по защите данных, включая DLP-систему нового поколения, одновременно.

Центр расследований объединяет в себе события DLP-системы, данные о действиях сотрудников InfoWatch Activity Monitor, информацию о хранении и доступе к файлам InfoWatch Data Discovery, визуальную аналитику InfoWatch Vision и оповещение о вероятных рисках InfoWatch Prediction в едином интерфейсном пространстве.

Центр расследований – это собственная разработка ГК InfoWatch, которая работает на базе ОС Linux, полностью соответствует требованиям импортозамещения и совместима с отечественными операционными системами. Пользовательские возможности и внешний вид Центра расследований спроектированы с учетом требований современного UX-дизайна, протестированы на фокус-группах офицеров безопасности компаний-клиентов и экспертов рынка и созданы с учетом их обратной связи. По оценкам участников фокус-групп, Центр расследований InfoWatch в три раза сокращает время от первого подозрения в нарушении до результата – принятия решения, что стало возможным благодаря основным опциям:

• единая консоль позволяет работать с необходимыми данными в одном окне
• единый фильтр и интерактивный интерфейс помогают быстро переключаться между разными срезами данных, сохранять контекст расследования и фокус на важных деталях
• можно сопоставлять информацию из нескольких модулей и быстро интерпретировать данные для принятия решений.

Это принципиально новый для индустрии информационной безопасности подход к ежедневной работе ИБ-специалиста, который позволяет офицеру безопасности анализировать данные из разных источников в едином контексте и работать с комплексной картиной событий при расследовании инцидентов ИБ. Такой подход особенно актуален для enterprise-компаний с большим штатом персонала и объемными массивами данных по ним.

«Мы обсуждали с бизнес-сообществом продвинутые опции по защите данных и получили обратную связь: несмотря на интерес к новым возможностям, у организаций часто не хватает ИБ-ресурсов даже на разбор всех инцидентов за день. Каждый инструмент безопасности генерирует множество различных данных и кратно повышает нагрузку на офицера безопасности по их поиску в различных модулях, сопоставлению, интерпретации и подготовке отчетности. Мы поставили перед собой задачу максимально упростить для ИБ-специалиста сбор информации и помочь ему сконцентрироваться на проведении расследований и принятии решений. Так мы пришли к разработке Центра расследований – единого информационного пространства с оперативным доступом к максимально полному набору данных. Теперь офицер безопасности сможет в несколько кликов сформировать интересующий его срез данных, при необходимости донастраивать и дополнять его, без переключения между несколькими консолями отслеживать цифровой след сотрудника, анализировать его и при необходимости действовать на опережение», - отмечает руководитель направления InfoWatch Employee Monitoring ГК InfoWatch Сергей Кузьмин.

Логика работы в Центре расследований построена таким образом, чтобы предоставить специалисту ИБ максимум релевантных данных, которыми можно управлять с помощью интерактивных инструментов сопоставления и поиска взаимосвязей, в удобном визуальном представлении. Например, специалист ИБ обращает внимание на инцидент на дашборде для ежедневного мониторинга и добавляет связанные события в расследование. Затем оценивает действия сотрудника до, во время и после инцидента в разделе «Мониторинг». Без перенастройки фильтра можно перейти в раздел «Аналитика» и на графе связей посмотреть круг общения сотрудника, чтобы найти всех задействованных в инциденте. В разделе «Риски» можно посмотреть, в какие группы риска входят задействованные сотрудники. Если же у специалиста ИБ возникает потребность оценить информацию на сетевых хранилищах, то он может сделать это в разделе «Хранение файлов». Собранная информация из четырех модулей InfoWatch Vision, Activity Monitor, Prediction и Data Discovery, включая данные о прошлых инцидентах и угрозах, аккумулируется в досье в разделе «Персоны». Оформить результаты расследования без перехода в сторонние текстовые редакторы можно в разделе «Расследования» и после этого выгрузить финальный отчет. А благодаря функции гибких отчетов есть возможность регулярно или по запросу предоставлять необходимые данные смежным департаментам.

Таким образом, после выхода Центра расследований решение InfoWatch Traffic Monitor становится единственной DLP-системой в России, которая в едином окне объединяет все технологии DLP нового поколения, а именно:

• контроль всех необходимых каналов передачи данных;
• точное детектирование конфиденциальной информации;
• автоматизированная настройка;
• интерактивная визуализация;
• поведенческая аналитика;

Важно, что Центр расследований не требует покупки дополнительных лицензий и доступен всем клиентам в рамках регулярного обновления любого из продуктов по защите данных ГК InfoWatch. Если в компании установлена DLP-система InfoWatch, но при этом не используется один или несколько ее дополнительных модулей, это не станет помехой для работы Центра расследований. В этом случае он будет работать с учетом возможностей установленных ИБ-решений. При этом его функционал в части расследований и составления отчетов будет полностью доступен при любой конфигурации защитного ПО.