Спецпроекты

Безопасность Цифровизация Импортонезависимость

Обзор DLP «СёрчИнформ КИБ»: импортонезависимость, расширенные возможности блокировок и предотвращение утечек через смартфоны

Рынок DLP-систем в России зрелый: стабилен набор основных игроков, понятны требования к DLP-системам. Тем не менее Указ №250, общая ситуация с киберугрозами заставляют заказчиков рассмотреть вопрос покупки DLP-системы или нарастить объем внедрения, если программа в компании уже работает. Несмотря на внешне похожие описания, разница между продуктами этого класса существенна. «СёрчИнформ КИБ» — флагманский продукт компании «СёрчИнформ», по которому рынок ИБ узнал этого российского разработчика систем информационной безопасности. В DLP «СёрчИнформ КИБ» собраны все функции, характерные для ПО этого класса, а также продвинутый функционал.

Базовые возможности

DLP-система «СёрчИнформ КИБ» (на рынке известна просто как КИБ) — классическое клиент-серверное решение, которое обеспечивает контроль максимального числа каналов перемещения информации:

  • всех коммуникаций (корпоративную и веб-почту, мессенджеры, соцсети и т. д.);
  • подключение съемных устройств и действия с ними (запись информации, запуск файлов и пр.);
  • облачные хранилища и виртуальные рабочие пространства;
  • распечатку документов;
  • набор текста с клавиатуры;
  • активность пользователей в программах и на сайтах;
  • переговоры, причем как условные звонки в Skype, так и «живые», которые ведутся рядом с рабочим ПК;
  • происходящее на экранах мониторов и в зоне видимости веб-камеры;
  • удаленный доступ и т. д.

За поиск инцидентов в перехваченном трафике отвечает движок собственной разработки, то есть система не зависит от сторонних разработок, а «СёрчИнформ» может постоянно наращивать поисковые возможности своей DLP. Основных алгоритмов восемь, в том числе не имеющий аналогов поиск документов, похожих по смыслу. Но комбинировать их можно как угодно, в любых сочетаниях.

Трафик анализируется автоматически — из «коробки» доступны 250+ политик безопасности, плюс можно создать неограниченное количество новых. Это позволяет обнаруживать не только утечки, но и любую другую нежелательную активность — от нарушений дисциплины до мошенничества. В поле зрения попадают даже признаки внешних атак например, запуск потенциально вредоносного ПО.

Для «ручных» расследований в КИБ самый широкий на рынке набор инструментов. Можно изучить любое действие, которое совершил пользователь на компьютере, все связанные с ним процессы и сопутствующую активность. Есть возможность проконтролировать сотрудников в режиме реального времени: подключиться к монитору, камере или микрофону.

Инструмент Task Management

«Досье» на сотрудников собраны в «Карточках пользователей» — это удобный агрегатор всей информации на сотрудника — от ФИО, должности и контактов до сводок по активности, авторизациям, психологических характеристик и перечня всех инцидентов, в которых он был замечен. Управлять инцидентами помогает Task Management — инструмент, в котором можно заводить задачи, распределять их, уточнять статус расследования и т.д.

Также в КИБ доступны больше 30 базовых отчетов. Это данные по статистике инцидентов, количестве отправленных писем или скопированных на флешки файлов, информация о дисциплине и продуктивности сотрудников и о работоспособности самой системы. Их можно кастомизировать, а при необходимости создавать неограниченное количество пользовательских отчетов — по шаблонам и самостоятельно.

Итого, на базовом уровне КИБ помогает:

  • Пресекать «сливы» данных через интернет, флешки или распечатки документов.
  • Выявлять случаи взяточничества, получения «откатов», воровства, мошенничества.
  • Обнаруживать подделку документов и отчетов, фальсификацию данных на рабочем месте.
  • Контролировать дисциплину, выявлять факты «работы на сторону», безделья.
  • Отслеживать и пресекать распространение слухов и сплетен, негатива в коллективе.

Импортонезависимость и мультиплатформенность

Система первоначально создавалась под Windows, но по запросам клиентов вскоре стала развиваться поддержка альтернативных ОС. С 2015 г. «СёрчИнформ КИБ» поддержал работу со всеми основными российскими ОС на базе Unix: Astra Linux, «Ред ОС», GosLinux, Rosa Linux, Alt Linux, Runtu и др., совместимость подтверждается сертификатами и проверяется разработчиками DLP и OC совместно для новых версий. Это делает систему подходящей для целей импортозамещения.

Благодаря собственному поисковому движку система защищена от санкционных рисков вроде отзыва лицензий и удаленной остановки работы иностранными поставщиками. В 2022 г. вендор приступил к поддержке отечественных СУБД: теперь перехват может храниться в СУБД PostgreSQL и PostgreSQL Pro, с 2023 г. система будет полностью работать на основе СУБД отечественной разработки.

Контроль MacOS

КИБ адаптирован для работы в отечественной ИТ-инфраструктуре и поддерживает множество российских источников. Например, система распознает форматы файлов, создаваемых в российских программах («Мой Офис», 1C и пр.), контролирует отечественные каналы передачи данных, в число которых входят мессенджеры и соцсети (TrueConf, Telegram, Dialog, ICQ, сервисы VK, включая Mail.ru, и т. д.), облачные сервисы (от хранилищ вроде «Яндекс.Диска», VALO cloud и Диск-О до CRM и бизнес-приложений с удаленным доступом типа Bitrix) и другие каналы. Этот перечень постоянно расширяется.

Поддержка MacOS

Кроме Linux-систем «СёрчИнформ КИБ» с 2022 г. поддерживает работу с MacOS. Агенты системы контролируют активность пользователей в приложениях и на сайтах за ПК Apple, а также происходящее на экранах их мониторов и ввод с клавиатуры. Вскоре производитель обещает расширить функционал агента для MacOS до уровня Windows и Linux.

Поиск по скриншоту в веб-консоли

Работа ИБ-специалиста в КИБ возможна абсолютно на любых устройствах. В DLP есть полнофункциональная веб-консоль, которая дает доступ ко всем возможностям системы. В ней можно создавать и настраивать политики безопасности и просматривать инциденты по ним, проводить углубленный поиск, управлять расследованиями, просматривать карточки пользователей и отчеты.

Блокировки утечек информации

В «СёрчИнформ КИБ» они реализованы для всех каналов, при этом система умеет блокировать трафик как по формальным признакам, так и по содержимому. КИБ поддерживает:

  • Контентные и контекстные блокировки в вебе. Можно закрыть доступ к конкретным ресурсам или целой категории сайтов (онлайн-казино, соцсети, видеохостинги и т.д.) для отдельных пользователей или групп. Также работают контентные и контекстные блокировки передачи файлов и данных на выбранные сайты. Например, во «ВКонтакте» можно заблокировать возможность загружать любые файлы, при этом оставив доступ к остальной функциональности сайта. А если пользователь попробует поделиться в чате с другом ноу-хау компании, его сообщение просто не уйдет.
  • Контентные и контекстные блокировки в мессенджерах. В мессенджерах Zoom, Slack, Telegram, TrueConf, Lync, Teams и WhatsApp можно запретить отправку файлов выбранных форматов, расширений и с заданным содержимым. Например, если в правиле настроен запрет на отправку файлов с текстом «Коммерческое предложение», пользователь не сможет прикрепить такой документ во вложения в чате. Для всех перечисленных мессенджеров, кроме WhatsApp, также доступна блокировка отправки текстовых сообщений с заданным содержанием. Сообщение с запрещенным контентом придет адресату в нечитаемом виде.
  • Контентные блокировки печати. Можно запретить распечатку документов с заданным содержимым. Запреты настраиваются по пользователю или группе, ПК, принтеру, запущенному процессу.
  • Контекстные блокировки изображений. В качестве дополнения к запрету печати по контенту появилась возможность блокировать печать файлов, содержащих текст на изображениях. Это работает благодаря встроенному OCR, который извлекает текст из всех изображений — даже скриншотов монитора!
  • Контекстные и контентные блокировки устройств. Можно запретить подключать любые или выбранные «девайсы» на все или выбранные ПК, конкретным пользователям и группам, а права на пользование флешками выдавать только по запросу через интерфейс на агенте. Более мягкая мера — ограничить запись на съемные устройства по объему данных и останавливать ее по достижении порога, или запретить запись определенного контента / типа файлов. Также доступна блокировка передачи данных через буфер обмена, она настраивается по содержимому и контролирует как копирование текста, так и передачу файлов.
  • Контентные блокировки в облаках. Функциональность аналогична запретам в вебе и для подключаемых устройств: можно заблокировать возможность записи в облачные хранилища файлов с заданным содержимым или определенного типа.
  • Блокировки в почте. Запреты настраиваются для писем и вложений по содержимому (например, нельзя пересылать файлы с грифом «Коммерческая тайна») и атрибутам (например, нельзя прикреплять вложения формата *.dwg).
  • Умный карантин. «СёрчИнформ КИБ» проверяет почтовый трафик на выделенном ядре, не задействуя основные мощности системы. DLP-система останавливает отправку писем с подозрительным содержанием и оповещает об этом ИБ-специалиста. Он может запретить или разрешить отправку сообщения, как только изучит инцидент.
  • Контентные блокировки доступа произвольных процессов к файлам (при интеграции с FileAuditor). КИБ поддерживает вычитку меток DCAP-системы «СёрчИнформ FileAuditor» и может блокировать передачу файлов по ним без дополнительной траты ресурсов на анализ контента. В результате в программе можно гибко разграничить доступ к файлам для любых приложений. Это значит, что все документы с определенной «тематической» меткой DCAP (ПДн, бухгалтерские, клиентские базы и пр.) перестанут открываться в приложениях, где их можно куда-то отправить (например, браузерах, десктоп- и веб-клиентах мессенджеров, почте и пр.). Такие блокировки — ноу-хау «СёрчИнформ».

Предотвращение утечек через мобильные устройства

«СёрчИнформ КИБ» выявляет попытки слива через личные гаджеты сотрудников — канал, который ранее не поддавался контролю в большинстве отечественных DLP-решений. Для этого реализована система компьютерного зрения, которая распознает наведение смартфонов на монитор ПК, когда пользователи пытаются сфотографировать экран.

Распознавание телефона

Распознавание работает вне зависимости от цвета, размера, модели, производителя устройства. Система отличает смартфон от внешних жестких дисков (соответствие по размеру, форме) и других предметов. При этом именно смартфоны, даже замаскированные или спрятанные, определяются с высокой точностью.

Можно настроить уведомления на все случаи, когда КИБ с высокой точностью распознал смартфон на снимке с веб-камеры. Таким образом ИБ-специалист будет в курсе актуального риска утечки и сможет вмешаться.

Если фотография, которую сделал пользователь, все же попадет в интернет, по ней можно будет определить источник утечки.

Пример водяных знаков на скриншоте экрана

КИБ транслирует на экраны сотрудников водяные знаки: каждый содержит идентификатор ПК, учетную запись пользователя, текущие дату и время. Их видимость можно настроить, чтобы они были не видны и не мешали работе сотрудников. Если такое изображение найдется в сети, ИБ-специалист сможет загрузить его в КИБ и применить специальные фильтры. Проявившиеся водяные знаки помогут вычислить инсайдера.

Профилактика случайных утечек

«СёрчИнформ КИБ» научился выявлять фишинг среди писем, поступающих на ящики сотрудников. Система обнаруживает, если адрес отправителя и истинный адрес отправления не совпадает. Если это так, КИБ сообщит об угрозе.

В КИБе есть отчет по авторизациям пользователей, он показывает все сервисы, где сотрудники вводили логин и пароль с корпоративного компьютера. Слабые пароли и те, которые совпадают с корпоративными из Active Directory, в отчете выделены — ИБ-специалист их сразу увидит.

Отчет по авторизациям

В КИБ реализован еще один способ обнаружить кражу аккаунта — функция распознавания лиц. Система с помощью вебкамеры делает снимки каждый раз, когда пользователь авторизуется за ПК, и сообщает, если компьютер разблокировал не владелец. Это достигается с помощью сравнения снимка с «эталонным» примером из Active Directory или Карточки пользователя. Дополнительно система распознает, если за ПК одновременно находятся несколько человек, или вообще никого нет — например, если в аккаунте сотрудника кто-то работает удаленно через RDP или TeamViewer.

Открытый режим работы

В «СёрчИнформ КИБ» можно включить пользовательский интерфейс — это открытый режим работы, который позволяет компаниям привлечь сотрудников к защите информации. В интерфейсе видно, какими устройствами и принтерами можно пользоваться сотрудниками, они могут запросить к ним доступ в случае необходимости. А при запрете получат уведомление. Дополнительно в пользовательском интерфейсе можно отображать данные трекинга рабочего времени, чтобы сотрудники понимали, что их активность за ПК отслеживается.

Пользовательский интерфейс

Также КИБ позволяет оповещать сотрудников, если их письма не прошли проверку и попали в карантин. Можно делегировать пользователям принятие решений о разблокировке писем. В оповещении о блокировке сотрудник увидит, что его письмо потенциально нарушает корпоративные правила. Если это случайная отправка, то уведомление привлечет внимание к нормам ИБ. А если пользователь готов принять риск — чтоб выполнить рабочую задачу, да даже чтобы пойти на нарушение — у ИБ-отдела будет полный отчет о его действиях и возможность вовремя вмешаться.

Преимущества внедрения

DLP-система «СёрчИнформ КИБ» — полностью отечественная разработка, основанная на импортонезависимых компонентах и хорошо адаптированная под российский системный и прикладной софт. Она входит в Реестр отечественного ПО, сертифицирована ФСТЭК по 4 уровню доверия. Таким образом, КИБ позволяет заказчикам выполнить требования регуляторов: по импортозамещению, по защите информации от ЦБ РФ, ФСТЭК, ФСБ и других регуляторов, федеральные законы187-ФЗ о защите критической инфраструктуры, №152-ФЗ о защите персональных данных, в том числе новые поправки к нему о необходимости отчитываться об утечках и предоставлять результаты расследования. Например, в последнем случае поможет специальный функционал — интеграция с ГосСОПКА, которая позволяет направлять отчеты напрямую в НКЦКИ по защищенному каналу.

Пример отчета в ГосСОПКА

В КИБ самый широкий среди конкурентов набор контентных блокировок, расширенный контроль утечек через телефоны, применяются нейросети для распознавания лиц и мобильного телефона.

Кроме того, система может стать базой для целого защитного комплекса. Например, сегодня КИБ — единственная российская DLP с развитой интеграцией с DCAP, а также c SIEM и ProfileCenter, причем тоже собственного производства. В системе открыт API, что позволяет интегрировать ее с любыми бизнес- и ИБ-приложениями, а из «коробки» доступно большое число интеграций, в том числе с отечественными решениями. Проактивный функционал и открытый режим работы позволяют предупреждать утечки и другие опасные инциденты, включая внешние угрозы.

Систему можно развернуть в облаке, если есть сложности с «железом», а если не хватает ИБ-специалистов — использовать по модели аутсорсинга. Тогда с системой будут работать аналитики «СёрчИнформ» и предоставлять подробные отчеты, предотвращать инциденты в случае их возникновения.

Оставьте заявку и запросите презентацию. Токен: JapBIJ75hРекламодатель: ООО «СерчИнформ»ИНН/ОГРН: 7704306397/1157746137955Сайт: https://searchinform.ru/

Короткая ссылка