Бесплатно Экспресс-аудит сайта:

Проверить
ГлавнаяО компанииПочему?Аудит безопасностиУстранение уязвимостейFAQНовостиКонтакты
08.12.2022

«СёрчИнформ КИБ» против всех: против сливов через смартфон, фишинга и кражи аккаунтов

Два года назад мы подробно рассказывали, как она устроена и что умеет . Но за последнее время система нарастила нетипичный функционал и развернулась в сторону открытого контроля. Разберем новинки подробнее.

Независимый контроль

Для начала напомним, что «СёрчИнформ КИБ» – клиент-серверное решение, где агенты отвечают за сбор данных с рабочих станций, а сервер – за их анализ.

У решения собственный поисковый движок «под капотом» серверной части, так что вендор не зависит от сторонних компонентов и может планомерно развивать аналитические возможности DLP. Сейчас в ней восемь основных поисковых алгоритмов, в том числе не имеющий аналогов поиск документов, похожих по смыслу. Но комбинировать виды поиска можно как угодно, в любых сочетаниях.

«СёрчИнформ КИБ» работает с российской СУБД PostgreSQL. В базы под управлением этой СУБД «пишется» перехват со всех контроллеров, которые собирают данные с пользовательских ПК.

Контроллеры работают через агенты. Они устанавливаются на ПК сотрудников под управлением любой ОС – на Windows, MacOS и Linux, в том числе отечественных и свободно распространяемых. Агенты контролируют, что пользователи делают с корпоративными данными и как проводят рабочее время. В совокупности система позволяет отслеживать:

  • все коммуникации (корпоративную и веб-почту, мессенджеры, соцсети и т.д.);
  • подключение съемных устройств и действия с ними (запись информации, запуск файлов и пр.);
  • облачные хранилища и виртуальные рабочие пространства;
  • распечатку документов;
  • набор текста с клавиатуры;
  • активность пользователей в программах и на сайтах;
  • переговоры, причем как условные звонки в Skype, так и «живые», которые ведутся рядом с рабочим ПК;
  • происходящее на экранах мониторов и в зоне видимости веб-камеры;
  • удаленный доступ и т.д.

Контроль ПК на MacOS

ИБ-специалист может настроить автоматическое обнаружение инцидентов по политикам безопасности. Их по умолчанию более 250, компания может настроить новые под свои нужды или запросить помощь в создании политик у вендора. При необходимости можно просматривать перехват в ручном режиме. Кроме того, доступен онлайн-контроль – ИБ-специалист может в реальном времени подключаться к монитору, камере и микрофону сотрудников.

Всю работу с перехватом можно вести локально или в веб-интерфейсе, с любого устройства, на котором есть браузер.

Веб-консоль КИБ

Предотвращение утечек

Основная задача КИБ – предотвращение утечек. Чтобы остановить попытки сливов по любым каналам, вендор реализовал контентные блокировки. Их преимущество в том, что они анализируют смысл передаваемой информации, а не только атрибуты файлов. Итого система поддерживает:

  • В вебе и облаках. Можно закрыть доступ к конкретным ресурсам или целой категории сайтов, также работают блокировки передачи файлов и данных на выбранные сайты. Например, во « ВКонтакте » можно заблокировать возможность загружать любые файлы, при этом оставив доступ к остальной функциональности сайта .
  • В мессенджерах. В Zoom, Slack, Telegram, TrueConf, Lync, Teams и WhatsApp можно запретить отправку файлов выбранных форматов, расширений и с заданным содержимым.
  • На принтерах, в том числе при печати изображений. Можно запретить распечатку документов с заданным содержимым или выбранных форматов. Встроенный OCR извлекает текст из любых картинок, скриншотов, документов .pdf и др., их распечатку можно блокировать по контенту. Доступно оповещение пользователя, то печать документа запрещена.
  • Флешек, съемных дисков и других подключаемых устройств. Доступен полный запрет подключения девайсов или ограничение записи: по объему данных, типу или содержимому файлов. Запреты действуют в том числе для буфера обмена – как для текста, так и для передачи файлов. А права на пользование флешками можно выдавать только по запросу через интерфейс на агенте.

Настройка блокировок

  • В почте. Запреты настраиваются для писем и вложений по содержимому (например, нельзя пересылать файлы с грифом «Коммерческая тайна») и атрибутам (например, нельзя прикреплять вложения формата *.dwg либо запароленные документы или архивы). Есть более мягкий режим – умный карантин, в котором ИБ-специалист может изучить подозрительное письмо и решить, можно ли отправлять его дальше.
  • В любых приложениях (при интеграции с FileAuditor). КИБ поддерживает вычитку меток DCAP-системы «СёрчИнформ FileAuditor», по меткам можно запретить программам доступ к документам из файловой системы. В результате документы с определенной «тематической» меткой DCAP (персданные, бухгалтерские, клиентские базы и пр.) перестанут открываться в любых выбранных приложениях – например, где их можно куда-то отправить (например, браузерах, десктоп- и веб-клиентах мессенджеров, почте и пр.). Такие блокировки — ноу-хау «СёрчИнформ», о них подробно рассказывали здесь .

При этом ИБ-специалист останется в курсе попыток пользователей слить конфиденциальную информацию. На срабатывание блокировки можно настроить автоматические оповещения или вручную отфильтровать трафик по признаку «Причина блокировки». Это нужно, чтобы отследить, что именно, кто и куда пытался передать.

Контроль сливов через смартфон

Эта задача стоит особняком. В «СёрчИнформ» решают ее комплексно.

1) Отслеживание использования телефона как флешку. КИБ отслеживает копирование данных, когда телефоны подключаются к компьютерам как флешки. Как любые нежелательные операции с USB, такую активность можно заблокировать.

2) Контроль фотографирования экрана. Через веб-камеру КИБ делает снимки сотрудника, сидящего за ПК. Съемку можно настроить по расписанию (например, каждые 30 секунд) или по событию (например, при открытии всех офисных документов). Если в объектив камеры попадает сотрудник с гаджетом в руках, DLP распознает смартфон и сообщает ИБ-специалисту об угрозе. Телефоны распознаются с высокой точностью, даже если частично закрыты рукой или замаскированы, система отличает их от других похожих объектов – например, кружек или пауэр-банков. Таким образом служба ИБ оперативно получает сигнал о возможной попытке сфотографировать экран и может вмешаться. Например, провести с пользователем беседу и убедить его удалить опасную фото.

Распознавание телефонов

3) Выявление источника утечки. Чтобы потенциальная утечка наверняка не прошла незамеченной, в «СёрчИнформ КИБ» есть система водяных знаков. Они выводятся на монитор поверх всех окон и остаются видны на скриншотах и снимках экрана. Водяные знаки содержат ID компьютера, пользователя, который за ним работал, а также актуальные на момент съемки дату и время.

«Проявить» знаки можно прямо в интерфейсе КИБ. Таким образом, если где-то в сети встретится фото подозрительно знакомого документа, ИБ-специалист сможет загрузить его в DLP и выяснить, когда и по чьей вине произошла утечка.

Водяные знаки и их «проявка» в КИБ

Вторая функция водяных знаков – предупреждающая. Сотрудники, видя такие знаки, будут знать, что за их ПК ведется контроль, и с меньшей вероятностью решатся слить «меченный» снимок экрана.

Профилактика случайных утечек

Случайно происходит до 66% инцидентов ИБ, в 14% случаев причиной становятся внешние атаки на сотрудников. «СёрчИнформ» предусмотрел эти риски и научил свою DLP определять признаки таких атак.

Система умеет вычислять фишинговые письма. DLP сравнивает видимый адрес отправителя и скрытые атрибуты письма и при несовпадении источника помечает письмо как опасное. ИБ-служба может предотвратить дальнейшее распространение фишинга, настроив правило блокировки для отправки таких писем пользователями, или предупредить сотрудников об угрозе. Так снижается опасность, что они перейдут по зараженным ссылкам или скачают вредоносные вложения, тем самым «впустив» злоумышленников в компанию.

Кроме того, «СёрчИнформ КИБ» выявляет компрометацию учетных записей – когда логин и пароль владельца становятся известны другому сотруднику компании. Заодно контролируются риски компрометации: например, слабые пароли или совпадение учетных данных на внешних сервисах с корпоративными. Для этого в системе есть отчет «Авторизации на сервисах», который показывает:

  • Все сервисы, на которых логинятся сотрудники.
  • Надежность паролей – слабый, средний или сложный (сам пароль по умолчанию не видно).
  • Совпадение с паролем из Active Directory – чтобы утечка на внешнем ресурсе не привела к компрометации рабочего периметра.
  • Ввод чужих данных авторизации – если один сотрудник использует логин и пароль, который ранее на том же сервисе вводил его коллега.

Отчет «Авторизации на сервисах»

Наконец, DLP определяет, когда за ПК сотрудника оказывается чужак. Для этого применяется система распознавания лиц. КИБ сравнивает снимки с веб-камеры с образцом фото пользователя в AD или в его персональной карточке (о них позже) – и фиксирует несовпадения. Функция также помогает выявлять, если в экран вместе с владельцем аккаунта «подглядывает» кто-то еще – то есть больше одного человека, или если за ПК вообще никого нет – например, если активна удаленная сессия через RDP или TeamViewer. О таких случаях можно настроить оповещения и привязать к ним автоматические реакции. Например, запуск внешнего скрипта с командой завершения сеанса Windows, если вместо сотрудника за его учеткой работает посторонний.

Открытый режим работы

Еще один способ снизить число инцидентов – привить пользователям базовую ИБ-грамотность. В этом помогает открытый режим работы DLP.

В «СёрчИнформ КИБ» можно включить пользовательский интерфейс — видимое сотрудникам окошко на панели задач, через которое они смогут напрямую взаимодействовать со службой ИБ. Интерфейс показывает, к каким устройствам и принтерам пользователю разрешен доступ, позволяет запросить его на время, указав причину.

Запрос доступа также работает для документов с метками FileAuditor. Если же сотрудник совершает несанкционированное действие – например, пытается распечатать конфиденциальный документ – он получит предупреждение о нарушении и блокировке доступа. Дополнительно в пользовательском интерфейсе можно отображать данные трекинга рабочего времени, чтобы сотрудники понимали, что их активность за ПК отслеживается.

Пользовательский интерфейс на агенте

Также КИБ позволяет оповещать сотрудников, если их письма не прошли проверку и попали в карантин. Можно делегировать пользователям принятие решений о разблокировке писем. В оповещении сотрудник увидит, что его письмо потенциально нарушает корпоративные правила. Если это случайная отправка, то уведомление привлечет внимание к нормам ИБ. А если пользователь готов принять риск — чтоб выполнить рабочую задачу или чтобы пойти на нарушение — у ИБ-отдела будет полный отчет о его действиях и возможность вовремя вмешаться.

Расследования и отчеты

«СёрчИнформ КИБ» идет впереди рынка по возможностям расследования инцидентов благодаря широкому охвату каналов контроля и аналитическим возможностям. А чтобы вести их было удобнее, вендор внедряет дополнительные инструменты.

Карточки пользователей собирают все данные о каждом сотруднике – от ФИО, должности и контактов до сводок по активности за ПК и кругу общения. Также в карточки подтягивается полное «досье» по инцидентам, в которых замешан пользователь, чтобы быстро просмотреть всю связанную с ним «фактуру». Если в компании установлен «СёрчИнформ ProfileCenter», в карточках отобразятся еще и психологические характеристики сотрудников.

Индивидуальный тайм-трекинг уточняет данные об активности сотрудников. ИБ-специалисты могут задать отдельные графики работы для сотрудников разных отделов с учетом смен, отпусков, больничных, праздников и выходных. Интеграция с «1С.Зарплата и управление персоналом», если такая установлена в компании, «подтянет» эти данные в КИБ автоматически. Благодаря синхронизации с календарями Outlook система получит данные о встречах и планерках, во время которых сотрудник не занят за ПК, и учтет их, чтобы не засчитывать простой компьютера за безделье. Кроме того, система распознает использование программ-автокликеров, зажатых клавиш и других уловок, с помощью которых сотрудники могут попытаться обмануть контроль и изобразить «бурную деятельность».

Task Management упрощает работу над расследованиями в режиме многозадачности. Это что-то вроде Jira для ИБ-отдела: в нем можно распределять задачи между ИБ-специалистами, обмениваться комментариями и следить за статусом каждого «дела».

Инструмент Task Management

Кроме прочего, Task Management позволяет формировать отчеты по стандарту ГосСОПКА и напрямую отправлять их в НКЦКИ. Это актуально для субъектов КИИ, а с сентября 2022 года – для всех операторов персональных данных. По свежим поправкам в ФЗ-152 они обязаны в течение трех дней отчитываться в ГосСОПКА о результатах расследования всех инцидентов с ПД.

Вывод

«СёрчИнформ КИБ» не только опережает конкурентов по привычному для DLP функционалу, но и заходит на новую территорию. Режим вовлечения пользователя делает систему элементом корпоративной ИБ-культуры и повышает эффективность защиты. Расширение функционала в области распознавания фишинга и кражи аккаунтов предупреждает случайные утечки. Искусственный интеллект позволяет справиться с ранее неконтролируемыми каналами сливов, такими как личные гаджеты сотрудников. А проактивный функционал позволяет предотвращать инциденты. Блокировки работают по содержимому, так что система остановит утечки реально критичных данных, не мешая бизнес-процессам.

Система хорошо адаптирована под российские реалии и защищена от санкционных рисков. Модули системы базируются на отечественной СУБД, она работает со всеми российскими ОС, включенными в Реестр отечественного ПО. К тому же КИБ постоянно расширяет поддержку российских источников. Например, система распознает форматы файлов, создаваемых в российских программах («Мой Офис», 1C и пр.), контролирует отечественные каналы передачи данных, в число которых входят мессенджеры и соцсети (TrueConf, Telegram, Dialog, ICQ, сервисы VK, включая Mail.ru и VKTeams, и т.д.), облачные сервисы (от хранилищ вроде «Яндекс.Диска», VALO cloud и Диск-О до CRM и бизнес-приложений с удаленным доступом) и другие каналы. Наконец, система бесшовно интегрирована с ГосСОПКА и SOC-системой RVision.

Отчет в ГосСОПКА, создаваемый в КИБ

КИБ без проблем встраивается в любую инфраструктуру благодаря открытому API. С его помощью система может обогащаться данными из любых ИБ- и бизнес-приложений, визуализировать данные. «Из коробки» работает интеграция со всеми продуктами «СёрчИнформ» (DCAP-системой «СёрчИнформ FileAuditor, системой мониторинга и управления событиями ИБ «СёрчИнформ SIEM», системой профилирования сотрудников «СёрчИнформ ProfileCenter»). Решения работают на базе одного дата-центра и в одном интерфейсе, совместное внедрение расширяет возможности защиты данных и в конечном итоге оказывается удобнее и экономичнее.

При этом преимущества «СёрчИнформ КИБ» доступны любой компании вне зависимости от размера. КИБ доступен в рамках услуги аутсорсинга DLP. А если под систему нет «железа», ее можно развернуть в облаке.

Вендор предоставляет бесплатный пилот «СёрчИнформ КИБ» в полном функционале на любое количество ПК. Оставьте заявку и закажите презентацию.

Реклама. Рекламодатель: ООО «СерчИнформ», ОГРН 1157746137955