Подводить итоги года — любимая новогодняя традиция. Запасаемся мандаринками, горячим шоколадом и устраиваемся поудобнее. Мы начинаем.
За этот год соларовская команда разработчиков DLP сделала значительный акцент на том, чтобы Solar Dozor не просто фиксировал инциденты, а по-настоящему расследовал их.
В первой статье нашего предновогоднего цикла, посвященной инструментам анализа и расследования, Яна Менжевицкая, аналитик отдела бизнес-аналитики систем предотвращения утечек информации ГК «Солар», даст краткий обзор изменений и подробно расскажет о самом масштабном обновлении прошедшего периода — модуле Dozor Detective и инструментах, которые превращают разрозненные данные в целостную картину произошедшего инцидента. Это настоящий прорыв в автоматизации рутины для офицеров безопасности.
Введение: краткий обзор изменений за период
Solar Dozor — российская система предотвращения утечек конфиденциальной информации и корпоративного мошенничества (Data Leak Prevention). С ее помощью автоматически отслеживаются и блокируются попытки передачи конфиденциальной информации, а также выявляются признаки корпоративного мошенничества. 20 лет Solar Dozor защищает от утечек крупнейшие отечественные организации самых разных сфер и отраслей — от производства до госсектора.
Система постоянно совершенствуется: в конце 2024-начале 2025 г. вышли версии 8.0. и 8.0.1, которые предлагают пользователям новый подход к ведению расследований инцидентов безопасности и новые функции контроля передачи данных.
Спойлер: … а в июне и сентябре 2025 г. — версии 8.1. и 8.2 с графическим инсталлятором и рядом технических улучшений, обеспечивающих повышенный уровень безопасности. Также разработчики уделили внимание повышению стабильности и удобства работы с системой.
В фокусе релизов 8.0 — 8.2:
• Dozor Detective — полноценный набор методик и инструментов для расследования инцидентов безопасности;
• Персона 4D — универсальный плеер, позволяющий в едином информационном поле увидеть полную картину действий пользователя за определенный период (как в конкретный момент времени, так и в течение дня). Использование этого инструмента существенно сокращает трудозатраты на проведение расследований за счет оперативного выявления обстоятельств, сопутствующих нарушению.
• Перевод аудиозаписи в текст — функция, которая не только распознает речь (более чем на 45 языках), но и проверяет распознанный текст на соответствие правилам политики безопасности (с учетом ключевых слов), тем самым, сокращая затраты специалиста службы безопасности на обработку аудиоданных;
• Повышенный уровень безопасности: использование современных и защищенных протоколов передачи данных: для взаимодействия сервисов в Solar Dozor по умолчанию применяется протокол TLS 1.2/1.3. Это обеспечивает шифрование трафика и защищает данные системы от перехвата, модификации или подмены, гарантируя их целостность.
А также:
• Улучшенный контроль передач�� данных в популярных мессенджерах и облачных сервисах: новые возможности для контроля передачи сообщений и файлов, в том числе отказоустойчивый механизм перехвата сообщений WhatsApp, быстрое обновление перехватчиков Telegram;
• Значительный шаг к интеграции с любыми системами: редактор схем преобразования данных, поступающих из внешних источников;
• Контроль загрузки на личные устройства файлов, сохраненных в корпоративной почте: возможность блокировать их открытие и скачивание;
• Продолжение курса на реализацию максимальной защиты, усовершенствование работы и развитие функций агентов:
А также:
• Улучшенный контроль передачи данных в популярных мессенджерах и облачных сервисах: новые возможности для контроля передачи сообщений и файлов, в том числе отказоустойчивый механизм перехвата сообщений WhatsApp, быстрое обновление перехватчиков Telegram;
• Значительный шаг к интеграции с любыми системами: редактор схем преобразования данных, поступающих из внешних источников;
• Контроль загрузки на личные устройства файлов, сохраненных в корпоративной почте: возможность блокировать их открытие и скачивание;
• Продолжение курса на реализацию максимальной защиты, усовершенствование работы и развитие функций агентов:
- контроль подключения пользователей к сетям Wi-Fi и применение правил политики ИБ к персонам/группам персон. Теперь это доступно для всех поддерживаемых агентом операционных систем - Windows, Linux и macOS;
- на рабочих станциях с ОС Linux - контроль запуска приложений и возможность записи экрана (эти функции были ранее реализованы для Windows-агента);
- на рабочих станциях с ОС Windows - возможность операций с агентами (установка, обновление, удаление) без перезагрузки рабочей станции и контроль записи на CD/DVD;
• Продолжение курса на поддержку отечественного/свободного программного обеспечения — перевод функции поиска с ElasticSearch на более совершенный движок OpenSearch с открытым кодом, обеспечение совместимости системы с СУБД PostgreSQL 15, интеграция с почтовой системой МойОфис Mailion;
• Расширение списка операционных систем, работа в которых поддерживается — обеспечены совместимость Solar Dozor с РЕД ОС 8, Debian 12.4, 12.7 и Альт Сервер 10.2, а также работа соответствующих агентских модулей на ОС macOS 15, Ubuntu 22.04, AlterOS 9.5, РЕД ОС 8 и Debian 12;
• Повышение удобства работы с системой: упрощение настройки функционала цифровых отпечатков DIFI, массовые операции с группой событий, развитие отчетности.
Изменения в Solar Dozor 8 серии настолько обширны, что в рамках этого обзора глубоко охватить их все не представляется возможным — подробно расскажем про самые значимые.
Сведения о том, какие функции в какой версии 8-рки были реализованы, представлены в таблице ниже (последняя на текущий момент версия - 8.2 - включает все функции, реализованные в предыдущих):
Dozor Detective: расследование инцидентов безопасности
Ключевой и наиболее масштабной «фишкой» Solar Dozor 8-ой серии стал модуль Dozor Detective. В основе разработки — концепция как можно более полной автоматизации рутинных процессов ведения внутрикорпоративных расследований инцидентов информационной, экономической и собственной безопасности. Модуль создан при плотном участии его будущих пользователей — специалистов служб безопасности (СБ) всех уровней и в соответствии с их рекомендациями.
Об этом модуле мы уже кратко писали в нашем материале (ссылка), теперь расскажем более подробно.
Dozor Detective предоставляет пользователям Solar Dozor раздел веб-интерфейса Расследование, где аккумулированы инструменты, с помощью которых можно собрать всю необходимую для расследования информацию:
Отдельное рабочее пространство — сущность Дело (Карточка дела) — для накопления и доступа ко всей разнородной информации (в том числе из внешних по отношению к Solar Dozor источников) по конкретному делу. Включает возможность документирования версий, возникающих в ходе расследования, и фиксацию его результатов.
Инструменты управления ходом расследования: можно назначать ответственных и контролировать сроки выполнения.
Возможности для совместной работы офицеров безопасности над расследованием, включая возможность ролевого разделения доступа. Можно ограничить доступ как к разделу Расследование и функциям Dozor Detective, так и к конкретному делу. При этом подразумевается, что при назначении офицера безопасности на ведение дела ему обеспечивается доступ ко всем необходимым данным и функциям.
Инструмент для отображения списка дел (раздел Картотека дел), доступных конкретному пользователю системы — специалисту службы безопасности, ведущему эти дела (ответственному за итоговый результат расследования), участвующему в них или контролирующему их сроки.
Фильтры для оперативного получения статистики по расследованиям и других данных, используемых для принятия решений. Кроме того, с модулем поставляется готовый набор справочников, каждый из которых можно дополнять и редактировать. В набор входят, например, справочники типов нарушений и типов ущерба, справочник валют и др. Данные справочников используются в других объектах системы, что позволяет избежать многократного ввода одной и той же информации. Dozor Detective: картотека (список) дел и карточка дела В разделе Расследование — Картотека дел офицер безопасности (ОБ) может просмотреть список дел, к которым у него есть доступ. Это могут быть как дела, ведение которых назначено непосредственно ОБ (то есть он является ответственным за итоговый результат расследования), так и дела, в которых он не является исполнителем/участником группы расследования, но должен контролировать процесс расследования.
Можно создать новое дело или, открыв карточку уже существующего дела, просмотреть, отредактировать или добавить следующие данные:
• Основная информация — номенклатурные и другие сведения, необходимые для открытия дела. При создании указываются известные на данный момент сведения о деле, а также сроки проведения расследования и кодовое слово. Грамотное использование кодового слова может снизить риск компрометации факта проведения расследования.
• Материалы дела — постепенно собираемые/собранные в процессе расследования сведения: информация о персонах, сообщения, события и инциденты, зарегистрированные в Solar Dozor, а также загруженные вручную файлы, аудио- и видеозаписи, текстовые расшифровки аудиозаписей, изображения и другие данные, относящиеся к делу. Материалы могут добавлять разные пользователи (офицеры безопасности), которые работают над делом и которым выданы соответствующие права доступа. Каждую запись о материале можно (и рекомендуется) сопровождать комментарием, что позволяет сразу (не открывая карточку со сведениями о материале) понять, что это за материал и какое он имеет отношение к делу.
• Фигуранты и участники — сведения о причастных к делу лицах (физических и юридических), в том числе о предполагаемых нарушителях безопасности.
• Аналитика — Версии: предположения о нарушителях и мотивах совершения нарушения. По ходу расследования, по мере появления артефактов и в результате анализа данных и связей между этими данными специалисты СБ выдвигают и прорабатывают версии. Каждая версия представляет собой гипотезу о том, кто и почему мог нарушить правила безопасности, организовать мошенническую схему и т.п. Версии могут быть зафиксированы, проверены и по результатам проверки либо подтверждены, либо опровергнуты.
• Результат расследования: итоги расследования и отчеты по делу. При указании итогов и формировании отчетности автоматически (на основе ранее указанных данных) фиксируется, какие версии были подтверждены, и кто из фигурантов какую роль сыграл. Можно также указать последствия инцидента и принятые меры, после чего закрыть дело.
Примечание
Прикреплять к делу можно как сущности Solar Dozor:
• карточка персоны, содержащая агрегированные сведения о персоне и ее коммуникациях, в том числе автоматически построенный профиль поведения и граф связей, наглядно показывающий все контакты персоны;
• карточка сообщения, содержащая текст и/или файлы, отправленные/полученные персоной с помощью средств передачи данных;
• карточка события/инцидента со всей информацией о нарушении;
• отчет о движении файла с наглядным представлением пути распространения файлов, отправленных или полученных персоной;
• снимки и видео с экрана рабочей станции персоны, содержащие информацию о действиях персоны на рабочей станции в конкретный момент или период времени;
• аудиозаписи и их текстовые расшифровки - файлы, содержащие данные, записанные с микрофона рабочей станции персоны, и их копии в текстовом формате, созданные с помощью встроенного в систему сервиса распознавания речи,
так и сведения из внешних систем или устройств: SIEM, СКУД, кадровых систем, ЭДО, записи с камер видеонаблюдения и др. Можно также создавать дела без зафиксированных в системе данных (в частности, без инцидента, зарегистрированного в системе).
Основная цель и преимущество такого подхода: все материалы по делу, включая итоги и отчетность, не просто разрозненно где-то хранятся, а именно консолидируются в одном защищенном месте. При этом обеспечена гибкость: можно прикреплять данные как из DLP Solar Dozor, так и из других систем.
Кстати, отчетность по делу не требуется ни распечатывать, ни отправлять на электронную почту — начальник СБ может скачать отчет в веб-интерфейсе системы. Это минимизирует риск компрометации или утечки материалов дела.
Организация доступа к материалам дела: краткие сведения
В системе предусмотрено управление доступом на основе ролей, при котором права доступа субъектов системы на объекты группируются с учетом специфики их применения.
Роль представляет собой набор прав доступа, который назначается пользователю системы, в результате чего он получает полномочия на выполнение конкретных действий, заданных в параметрах роли. Ролевая модель позволяет реализовать гибкие правила разграничения доступа. В том числе можно ограничить доступ как к разделу Расследование и функциям Dozor Detective, так и к конкретному делу и/или его отдельным деталям – материалам, сведениям о фигурантах, версиям или итогам.
Гра��отная организация доступа позволяет специалистам служб безопасности расследовать дела с соблюдением режима конфиденциальности, тем самым, снижая риск компрометации и/или утечки соответствующих данных.
Dozor Detective: резюме
Учитывая все сказанное выше, использование Dozor Detective для решения задач, возникающих в процессе расследования инцидентов, позволяет:
• повысить эффективность специалистов служб безопасности за счет использования многофункционального инструментария в едином интерфейсе;
• сократить трудозатраты и снизить риск ошибок, вызванных влиянием человеческого фактора;
• свести к минимуму риски потери, утечки или компрометации материалов расследования.
Персона 4D: моментальное получение объемных сведений о действиях персоны в конкретный момент времени — сообщения, события/инциденты, снимки, записи экрана и аудиозаписи с микрофона
При мониторинге событий и расследовании инцидентов сотрудник службы безопасности обрабатывает разрозненную разнородную информацию. Чтобы получить эту информацию, в предыдущих версиях Solar Dozor ему, как правило, приходилось переключаться между разделами веб-интерфейса системы, что отнимало время, затягивало анализ и расследование, приводило к росту влияния человеческого фактора на полноту и корректность анализа.
В Solar Dozor версии 8.0 появился универсальный плеер 4D, который позволяет наглядно увидеть хронологию дня конкретной персоны (например, сотрудника компании) совместно с полной картиной действий этой персоны на рабочей станции в конкретный момент времени.
В разделе Досье — Карточка персоны — 4D веб-интерфейса системы сосредоточены так называемые записи 4D. Каждая такая запись содержит информацию о связанных с конкретной персоной объектах, сведения о которых были зафиксированы в системе за определенные сутки.
Среди этих объектов:
• различные системные сообщения со сведениями о деятельности персоны (например, сообщения, содержащие перехваченные текст и/или файлы, отправленные/полученные персоной по электронной почте или в мессенджере; расшифровка аудиозаписи разговора персоны и т.п.);
• зафиксированные системой или созданные офицером безопасности события/инциденты, в которых фигурирует персона;
• аудиозаписи с микрофона рабочей станции (компьютера, ноутбука) персоны;
• снимки и видеозаписи экрана рабочей станции персоны.
На рисунке 12 приведен пример записи 4D – полная хронология дня персоны представлена на временной шкале (таймлайне), где:
• наличие соответствующих данных (записи/снимки экрана, сообщения и т.д.) в конкретный момент времени показано специальными отметками — маркерами в виде кружков или прямоугольников;
• для сообщений, снимков и событий/инцидентов отображается интенсивность их фиксации в системе в указанный момент времени — чем больше количество и выше интенсивность, тем больше маркер;
• для событий и инцидентов цвет маркера соответствует уровню критичности конкретного события/инцидента: бордовый (темно-красный) — критичный, светло-красный — высокий, желтый — средний, зеленый — низкий, голубой — уровень "Информация".
• можно создать собственную отметку (маркер) для указания временного промежутка/точки, где сосредоточены полезные для офицера безопасности сведения.
Ключевая функция инструмента 4D — воспроизведение данных с согласованием во времени: выбрав на таймлайне точку отсчета и включив воспроизведение записи 4D, офицер безопасности может смоделировать действия персоны в конкретный момент времени, одновременно просматривая/прослушивая связанные с персоной:
• сообщения, события или инциденты;
• аудиозаписи с микрофона;
• снимки и видеозаписи экрана. При этом снимки можно просматривать как отдельно, так и в виде слайд-шоу, а видеозаписи — как в веб-интерфейсе системы, так и в полноэкранном режиме.
Пример: сотрудник компании Богачева П. находится на особом контроле — в группе особого контроля, где автоматически применяется правило отслеживания всех возможных коммуникаций, в том числе в определенные моменты одновременно записываются звук с микрофона и видео экрана соответствующей рабочей станции. Отслеживая деятельность Богачевой с помощью инструмента 4D, офицер безопасности может, например, прослушать запись разговора Богачевой с кем-либо, одновременно наблюдая за тем, что происходило на экране её ноутбука в конкретный момент разговора.
Отображение данных записи 4D можно настроить:
• скрыть один из блоков, чтобы развернуть другой и сосредоточить внимание на интересующих данных;
• развернуть блок с сообщениями, чтобы, к примеру, использовать возможности поиска, не покидая при этом раздела;
• показать или скрыть отдельные дорожки временной шкалы;
• отфильтровать данные, отобразив только нужные.
С универсальным плеером 4D можно решать множество задач, не покидая одного раздела веб-интерфейса системы. Автоматически построенный таймлайн за сутки наглядно демонстрирует, что происходило в период, за который собирались данные, отображая сведения о действиях персоны за рабочей станцией и зафиксированные системой события безопасности. Таким образом, инструмент 4D позволяет снизить трудозатраты на получение этих данных, а значит, и на проведение расследований и профилактических мероприятий, сокращая время на установление обстоятельств события/инцидента.
Распознавание речи: автоматический перевод аудиозаписи в текст — возможность быстрого выявления угроз безопасности в устных коммуникациях
В Solar Dozor можно записывать звук c микрофона рабочей станции персоны. При этом прослушивать аудиозаписи и находить в них потенциальные угрозы — долгий и трудоемкий процесс, отнимающий ресурсы. Использование каких-либо внешних решений для обработки аудиозаписей может привести к утечке конфиденциальных данных. Именно поэтому разработчики Solar Dozor уделили большое внимание функции обработки аудиозаписей — переводу в текстовый формат.
Результатом работы этой функции является текстовый файл с расшифровкой аудиозаписи, то есть распознанная и преобразованная в текст речь на одном из 45 поддерживаемых языков, включая русский, английский, французский, испанский, немецкий, итальянский, японский, китайский, португальский, турецкий, арабский и др.
Для оперативного перевода аудиозаписей в текст без потери производительности предусмотрено и рекомендует��я развертывание отвечающего за распознавание речи компонента системы на сервере с графическим процессором (GPU). Для стабильной работы достаточно всего одного сервера с GPU, что делает решение экономически выгодным.
Однако распознанный текст — это полдела, поскольку ручная обработка большого объёма переведенных записей занимает время, а передача критичной информации требует немедленного реагирования. Поэтому разработчики добавили возможность применять к текстовым расшифровкам аудиозаписей правила настроенной для организации политики безопасности. Так система будет автоматически анализировать содержание аудиозаписей, проверяя их на наличие потенциальных угроз. В результате этой проверки создаются сообщения (а при срабатывании политики – события) с распознанным текстом.
Таким образом, с новой функцией система позволяет выявлять возможные угрозы не только в письменной коммуникации, но и в устной речи, исключая при этом ручную обработку информации. В результате повышается скорость и точность выявления событий/инцидентов, сокращаются трудозатраты офицера безопасности и снижается риск ошибок, вызванных человеческим фактором.
Кстати, про то, как разрабатывалась эта функция можно почитать – мы писали об этом в материале по ссылке.
