Как стать автором
Обновить

Анализ инцидентов в компьютерных системах и сетях

Время на прочтение 4 мин
Количество просмотров 4.5K

Аннотация


В современных компаниях внутренний нарушитель составляет весомую часть угроз безопасности. Чтобы закрыть проблему с утечками, рекомендуется использование DLP-систем. В данной статье предлагается рассмотреть три DLP-системы и выбрать из них лучшую.

Введение


В настоящее время компании уделяют много внимания внешним угрозам безопасности, зачастую игнорируя потенциальные опасности внутри предприятия. Любой сотрудник может оказаться причиной утечки конфиденциальной информации, будь это преднамеренное действие или неосторожность, и нанести куда более значительный ущерб компании. Поэтому возникает необходимость в организации комплексной защиты информации от утечек, и наиболее подходящим решением этой проблемы является использование DLP-систем.

DLP-система представляет собой комплекс программно-аппаратных средств, обеспечивающих защищенность информации от утечек путем перехвата и последующего анализа и блокирования потока данных, пересекающих периметр в направлении «вовне», либо циркулирующих внутри защищаемой корпоративной сети.

В данной статье будут рассмотрены DLP-системы трех отечественных разработчиков программного обеспечения в сфере информационной безопасности:

  • «Сёрчинформ КИБ» — продукт компании «Сёрчинформ»;
  • «Falcongaze SecureTower» — программное решение для предотвращения утечек информации, разработанное компанией «Falcongaze»;
  • «InfoWatch Traffic Monitor» — флагман группы компаний «InfoWatch».
    Сравнение этих продуктов позволит выявить наиболее подходящую систему для защиты от внутренних угроз.

Исследование


Рассмотрим интерфейс Сёрчинформ КИБ

image

На вкладке «Поиск» настраивается поиск и перехват данных по шаблонам, ключевым словам и фразам из системы, переписок в социальных сетях и мессенджерах. «Текущая активность» позволяет увидеть экран пользователя в режиме реального времени. «Файловый аудитор» собирает информацию о файлах и папках на ПК с возможностью теневого копирования. С помощью «Профайл центра» можно составить психологический профиль пользователя на основе его активности. На вкладке «Отчет» настраивается отчетность по интересующим событиям.

Далее рассмотрим консоль Falcongaze Secure Tower.

image

Консоль пользователя включает в себя такие вкладки, как «Поиск информации», где осуществляется поиск по перехваченным данным, «Комбинированный поиск», «Мониторинг файловых систем», что позволяет искать различные файлы на рабочих станциях. Также присутствуют инструменты для мониторинга активности пользователей в сети и наблюдения за рабочим местом пользователя, используя перехват аудио- и видеопотоков. На вкладке «Центр отчетности» происходит реализация отчетов по различным критериям. В «Центре обеспечения безопасности» настраиваются политики безопасности. Кроме этого консоль содержит инструменты для работы с документацией при проведении расследований в соответствующей вкладке «Центр расследований».

В завершение исследуем главное окно InfoWatch Traffic Monitor.

image

Раздел «Сводка» содержит статистическую информацию о нарушения и нарушителях. В «Событиях» представлен список объектов перехвата и средства для работы с ними. Вкладка «Отчеты» позволяет посмотреть визуализированную статистику перехваченных объектов. Раздел «Технологии» содержит редактируемые справочники категорий и терминов, текстовых объектов, эталонных документов, бланков, печатей, выгрузок из баз данных, а также список предустановленных графических объектов. Информацию о пользователях можно найти на вкладке «Персоны». Раздел «списки» содержит редактируемые справочники тегов, веб-ресурсов, статусов, периметров и нередактируемый список файлов. Настроить действия, которые выполняет Система в ответ на действия персон и рабочих станций можно в разделе «Политики».

Сравнение функционала


Далее проведем сравнительный анализ функционала DLP-систем на основе общей информации, предоставляемой производителями в открытом доступе. Результаты сравнения приведены ниже в таблице.
Серчинформ КИБ Falcongaze SecureTower Infowatch Traffic monitor
Электронная почта (контролируемые протоколы) SMTP, POP3, IMAP, MAPI, NNTP, S/MIME, Контроль веб-почты SMTP, POP3, IMAP, MAPI, Контроль веб-почты SMTP, POP3, IMAP, MAPI, S/MIME, Контроль веб-почты
Мессенджеры и соцсети Все популярные мессенджеры, также сайты на платформе Mamba; VK, Facebook и т.д. Все популярные мессенджеры; VK, Facebook и т.д. Все популярные мессенджеры; VK, Facebook и т.д.
Контроль облачных сервисов и хранилищ Да Да Да
Контроль шифрованного трафика Да Да Да
Контроль печати Да Да Да
Контроль и блокирование внешних носителей Да Да Да
Аудио- и видеомониторинг Да Да Да
Снимки текущего экрана Да Да Да
Просмотр экрана в реальном времени Да Да Нет
Кейлоггер Да Да Да, в отдельной консоли
Настройка политики безопасности Да, в отдельной консоли Да Да
Поддерживаемые форматы файлов (текст, изображения, архивы) Распространенные текстовые форматы, включая Microsoft Office, PDF, RTF;
Все популярные графические форматы.

Популярные форматы архивов:

Распространенные форматы, включая форматы Microsoft Office, OpenOffice, PDF;
Популярные графические форматы;
Архивные форматы GZIP, ZIP, TAR, TIFF
Microsoft Office, PDF, RTF, CHM;
Все популярные графические форматы;
Популярные форматы архивов

Исследование показало, что функционал всех трех продуктов в целом схож, присутствуют необходимые инструменты для анализа инцидентов в компьютерных системах и сетях.

Заключение


Все три DLP-системы обладают широкими возможностями в области защиты системы от внутренних угроз, поэтому выбор лучшей из них в данном исследовании произведен исходя из простоты настройки и удобства работы с системой.

В «Сёрчинформ КИБ» настройка политик безопасности и работа с инцидентами происходит в отдельных модулях. «InfoWatch Traffic Monitor» является самым громоздким решением, т.к. дополнительный функционал, например, контроль активности пользователя, реализован в виде независимого продукта, и централизованное управление отсутствует.

В «Falcongaze SecureTower» весь необходимый функционал доступен в одной консоли, что делает данную систему наиболее удобной и предпочтительной в рамках проведенного исследования.
Теги:
Хабы:
-2
Комментарии 2
Комментарии Комментарии 2

Публикации

Истории

Работа

Ближайшие события

DI CONF SMM — большая конференция по соцсетям в России
Дата 2 марта
Время 09:30 – 18:00
Место
Краснодар Онлайн
Московский туристический хакатон
Дата 23 марта – 7 апреля
Место
Москва Онлайн