Анна Попова, руководитель Блока DLP ГК Инфосекьюрити, продолжает делиться своими впечатлениями от использования разных DLP-систем. В этой статье пойдет речь о КИБ SearchInform.


Первым из тех, по кому хочу актуализировать знания, будет именно КИБ SearchInform, что вполне логично, так как с этим решением я работала дольше, чем с любым другим, и мне конечно же очень интересно, что там происходит у вендора. Поэтому от предложения в комментариях протестировать новую версию софта я не стала отказываться.

Полноценного тестирования до конца года провести не получилось, но немного погрузиться в изучение новинок все-таки мне удалось.

Итак, по порядку.

Консоль аналитика


Кто знает меня или читал мой предыдущий обзор, в курсе, что я давно жду консоль аналитика от вендора. И вот, наконец, она вышла!

Визуально она мне понравилась, потому что чего-то сверх навороченного в ней не появилось (чтобы было бы плохо, мне кажется), но при этом она совместила то, что удобно иметь в одной консоли – общий клиент, репорт-центр и профайл-центр.



В текущих релизах в нее еще не встроен алерт-центр (он остался без особых визуальных изменений), но, например, меня это не пугает, потому что в последнее время чаще занимаюсь точечным мониторингом сотрудников, чем настройкой политик и созданием правил для отлова всяких вкусняшек.

Для работы с событиями мне всегда был более удобен общий клиент.

Также отдельным окном в консоль вынесли из общего клиента модуль онлайн-наблюдения за компьютером (LiveView), что мне тоже понравилось, потому что им я пользуюсь довольно часто. С другой стороны, отделение его от общей консоли просмотра удобно, не люблю, когда все в одном окне и постоянно одно сбрасывает другое.

Ну и присутствие в той же консоли всех возможных отчетов бывшего репорт-центра – это большой плюс.

Так что я довольна таким изменением.

Веб-версия


Симпатичная и тоже вполне простая, для любителей минимализма сразу плюс. В ней пока воплощены веб-версии алерта и репорта. Администрирование алерта при этом осталось в толстом клиенте, но обещают скорый перенос – также в веб.



Новые фишки


Файловый аудитор

Новый модуль, который теперь выступает универсальным сканером пространств с возможностью выхватывания теневых копий и разметки документов. Ранее эту задачу приходилось решать двумя разными модулями – файл контроллером и ИРС. Второй, к слову, так же переработан и стал на порядок быстрее и удобнее в настройке.

Сканирование облачных хранилищ

Вещь скорее всего востребованная, потому что в облака с каждым днем улетает все больше и больше компаний. По сути это тоже сканер, который соберет теневые копии, разметит файлы и даст возможность с ними работать, в том числе посредством политик алерт-центра.

Съемные носители

Теневая копия файлов, находящихся на съемном носителе.

Вот это круто, правда. Сколько проблем я лично испытала с тем, когда очень было надо посмотреть, а что же там за файлы на флэшке, которую сотрудник подключил к компу. Долго сидишь и ловишь на видео момент в надежде, что сотрудник их хотя бы частично открывал.
Шифрование данных, записываемых на носитель. Кому-то будет полезно, ну и меньше заморочек с дополнительными средствами шифрования для флэшек. Тонкая настройка параметров прав записи на носитель. По размерам файлов, например.

Кейлоггер

Появилась галочка, нажав которую можно перестать завязывать глаза при мониторинге, а просто перестать видеть пароли.
Радуйтесь борцы за свободу и всадники GDPR!

Перехват мессенджеров

Один из самых популярных, мне кажется, вопросов у клиентов. Причем любят спрашивать даже про те мессенджеры, которые в компании не используются вообще, либо использует 1 человек. Ну да ладно.

Так вот. В новом КИБе перехватывается все из наших любимых ватсапа, телеги и вайбера в обоих вариантах: веб и десктоп. Кстати, это, видимо, эксклюзив, в части ватспапа точно.

Работа почты в режиме блокировки

Есть поддержка всех самых используемых протоколов: IMAP, NNTP, POP3, SMTP, HTTP (S), и MAPI.

Перехват реализован для перечисленного, в том числе, с использованием s\mime. Блокировка доступна для исходящих протоколов, опять же включая MAPI и s\mime.

Видео рабочего стола и веб-камеры

Появился модуль контроля изображений с веб-камеры, то есть у каждого инцидента теперь есть «человеческое лицо». Аналогично формату скриншотов можно включить запись только в привязке к определенным процессам или даже сайтам.

Linux

Контроль трафика на всем семействе Astra Linux, Ubuntu и CentOS. Скоро обещают, что добавится и device sniffer.

Агенты

Одно из моих любимых.
Добавился контроль агентов. Если в течение какого-то времени агент не отстукивает серверу, запускается его переустановка.
Причем теперь агенту для обновления нужен только интернет для коннекта с сервером и даже необязательно нахождение внутри корпоративной сети.

Репорт-центр

Его больше нет как отдельной сущности. Аллилуйя! А еще забываем о постоянной синхронизации его баз – теперь она циклична.

Профайл-центр



Его польза для меня очевидна. Зачем ловить постфактум инциденты, если какую-то часть из них можно предвидеть. Да и знать своего сотрудника не только в лицо для меня прямо хлебушек с маслом.

Как это работает в технике мне сказать сложно, но визуально вкладка с ним выглядит очень скромно и минималистично, а значит не надо мучиться с настройками.

Честно сказать, кому какое дело, как там работают эти алгоритмы. Люди, которые разрабатывали этот продукт, явно много лет посвятили профайлингу и работе с живыми людьми. Если бы такой разработкой занялись люди, которые могут быть супер-разработчиками и супер-инженерами, но в психологии ничего не понимают, то тогда это было совсем странно.
Надо тестировать. Потребности на рынке в таком продукте точно есть, особенно в службах безопасности и очень продвинутом HR. Ну и конкурентов как минимум на российском рынке UBA и DLP особо-то и нет.

По словам вендора, в среднем 1-2 месяца нужно накапливать данные для построения достоверного портрета сотрудника. Да, как в фильмах путем мгновенного высасывания мозга через ухо пока не работает, если кто мечтал об этом.

Скорость поиска

Про быстроту поиска и изменилось ли в ней что-то, ничего сказать не могу, визуальным анализом этого не поймешь. Разработчик рассказывает о выпуске принципиально нового поискового движка, лишенного старых проблем. Объясняется новой 64х архитектурой, не имеющей программных ограничений (как было в старом движке) по памяти, ядрам и потокам. С технической точки зрения звучит вполне обоснованно, но сама о реальной скорости судить не берусь. Нужны данные. Много реальных данных…

Еще раз дайджест:

  • интерфейс не утратил своей простоты и понятности;
  • общий клиент с репортом поженились и усыновили профайл-центр, так получилась дружная семья — консоль аналитика;
  • алерт-центр пока не сдается и живет в отдельной квартире;
  • LiveView теперь в отдельном окошке объединенной консоли;
  • кейлоггер сдался и включил режим запрета сбора паролей;
  • агенты научились бороться с жестокостью этого мира и теперь используют переустановку в автоматическом режиме, мониторинг собственной работоспособности и прочие плюшки;
  • загадочный профайл-центр выглядит весьма дружелюбно;
  • теневая копия данных, находящихся на флэшке, — для особо фанатеющих от своей работы офицеров безопасности;
  • морально готовым к переходу на линуксы можно уже начинать радоваться;
  • атавизм файлового контроллера реинкарнировал в крутой сканер с разметкой данных;
  • телеги, сани, лыжи и прочие ватсапы: мы вас не боимся, мы вас перехватываем во всех позах;
  • сканирование облаков для тех, кто идет в ногу со временем.

Ну вот, постаралась собрать по поверхности сливки и немножко проанализировать основные изменения КИБа.

Надеюсь, что у меня будет возможность погрузиться в новый КИБ поглубже и рассказать вам еще много интересного.

Возможно даже возьмем интервью с провокационными вопросами у вендора и покажем все, что скрыто.

До новых встреч, DLP-зависимые!

Анна Попова, руководитель Блока DLP, Infosecurity a Softline company