Searchinform как обнаружить на компьютере

Обновлено: 04.07.2024

По мере увеличения количества информации в мире всё актуальнее становится проблема поиска среди моря этой информации нужных и полезных сведений. Поэтому существует ряд программных продуктов, облегчающих поиск информации среди больших объёмов данных.

Для начала стоит сказать, что выпускается SearchInform для операционной системы Windows, и в трёх различных редакциях: Desktop, Corporate и Lotsia PDM Plus.

SearchInform Desktop Edition поставляется в четырёх разных вариантах, которые имеют разную стоимость и различаются количественными характеристиками, как-то максимальный размер индекса, количество поддерживаемых файловых форматов и прочее. Среди них присутствует и бесплатная версия с ограниченной функциональностью.

SearchInform Corporate Edition, как, в принципе, видно из её названия, предназначена для работы в корпоративных сетях - сетях внутри фирм, предприятий, учреждений. По словам производителей программного продукта, SearchInform Corporate Edition не требует изменения существующих бизнес-процессов и позволяет максимально сохранить инвестиции компании, вложенные в существующую информационную инфраструктуру, в то же время система позволяет объединить разрозненные корпоративные приложения и данные в единую информационную систему, что приводит к более эффективному решению бизнес-задач. Корпоративное издание SearchInform имеет клиент-серверную архитектуру и поддерживает разграничение прав доступа, как внутреннее в рамках системы, так и основанное на наследовании NTFS аутентификации Windows. Можно отдельно управлять доступом к индексу, источнику информации и проиндексированным файлам. Ну и, конечно, всё, что касается Desktop Edition, относится и к клиентской части Corporate Edition.

Corporate Edition тоже имеет различные варианты поставки, самый лучший из которых, Enterprise, позволяет обеспечить дополнительную безопасность информационной среды предприятия. Для этого используется система из сервера и специальных мониторов, которые будут следить за перемещением текстовых данных с ключевыми словами, указанными пользователем.

Что касается Lotsia PDM Plus, то она разработана специально для облегчения планирования и обеспечения доступа работников к различным документам, необходимым в ходе работы. Она позволяет производить не только индексируемый полнотекстовый поиск, но и поиск по неиндексируемым источникам. При этом Lotsia PDM Plus является полноценным PDM-решением, позволяющим контролировать сроки выполнения работ по проекту, формировать отчёты и делать всё прочее, необходимое для управления проектами.

Анна Попова, руководитель Блока DLP ГК Инфосекьюрити, продолжает делиться своими впечатлениями от использования разных DLP-систем. В этой статье пойдет речь о КИБ SearchInform.



Первым из тех, по кому хочу актуализировать знания, будет именно КИБ SearchInform, что вполне логично, так как с этим решением я работала дольше, чем с любым другим, и мне конечно же очень интересно, что там происходит у вендора. Поэтому от предложения в комментариях протестировать новую версию софта я не стала отказываться.

Полноценного тестирования до конца года провести не получилось, но немного погрузиться в изучение новинок все-таки мне удалось.

Итак, по порядку.

Консоль аналитика

Кто знает меня или читал мой предыдущий обзор, в курсе, что я давно жду консоль аналитика от вендора. И вот, наконец, она вышла!

Визуально она мне понравилась, потому что чего-то сверх навороченного в ней не появилось (чтобы было бы плохо, мне кажется), но при этом она совместила то, что удобно иметь в одной консоли – общий клиент, репорт-центр и профайл-центр.


В текущих релизах в нее еще не встроен алерт-центр (он остался без особых визуальных изменений), но, например, меня это не пугает, потому что в последнее время чаще занимаюсь точечным мониторингом сотрудников, чем настройкой политик и созданием правил для отлова всяких вкусняшек.

Для работы с событиями мне всегда был более удобен общий клиент.

Также отдельным окном в консоль вынесли из общего клиента модуль онлайн-наблюдения за компьютером (LiveView), что мне тоже понравилось, потому что им я пользуюсь довольно часто. С другой стороны, отделение его от общей консоли просмотра удобно, не люблю, когда все в одном окне и постоянно одно сбрасывает другое.

Ну и присутствие в той же консоли всех возможных отчетов бывшего репорт-центра – это большой плюс.

Так что я довольна таким изменением.

Веб-версия

Симпатичная и тоже вполне простая, для любителей минимализма сразу плюс. В ней пока воплощены веб-версии алерта и репорта. Администрирование алерта при этом осталось в толстом клиенте, но обещают скорый перенос – также в веб.


Новые фишки

Файловый аудитор

Новый модуль, который теперь выступает универсальным сканером пространств с возможностью выхватывания теневых копий и разметки документов. Ранее эту задачу приходилось решать двумя разными модулями – файл контроллером и ИРС. Второй, к слову, так же переработан и стал на порядок быстрее и удобнее в настройке.

Сканирование облачных хранилищ

Вещь скорее всего востребованная, потому что в облака с каждым днем улетает все больше и больше компаний. По сути это тоже сканер, который соберет теневые копии, разметит файлы и даст возможность с ними работать, в том числе посредством политик алерт-центра.

Съемные носители

Теневая копия файлов, находящихся на съемном носителе.

Вот это круто, правда. Сколько проблем я лично испытала с тем, когда очень было надо посмотреть, а что же там за файлы на флэшке, которую сотрудник подключил к компу. Долго сидишь и ловишь на видео момент в надежде, что сотрудник их хотя бы частично открывал.
Шифрование данных, записываемых на носитель. Кому-то будет полезно, ну и меньше заморочек с дополнительными средствами шифрования для флэшек. Тонкая настройка параметров прав записи на носитель. По размерам файлов, например.

Появилась галочка, нажав которую можно перестать завязывать глаза при мониторинге, а просто перестать видеть пароли.
Радуйтесь борцы за свободу и всадники GDPR!

Перехват мессенджеров

Один из самых популярных, мне кажется, вопросов у клиентов. Причем любят спрашивать даже про те мессенджеры, которые в компании не используются вообще, либо использует 1 человек. Ну да ладно.

Так вот. В новом КИБе перехватывается все из наших любимых ватсапа, телеги и вайбера в обоих вариантах: веб и десктоп. Кстати, это, видимо, эксклюзив, в части ватспапа точно.

Работа почты в режиме блокировки

Перехват реализован для перечисленного, в том числе, с использованием s\mime. Блокировка доступна для исходящих протоколов, опять же включая MAPI и s\mime.

Видео рабочего стола и веб-камеры

Появился модуль контроля изображений с веб-камеры, то есть у каждого инцидента теперь есть «человеческое лицо». Аналогично формату скриншотов можно включить запись только в привязке к определенным процессам или даже сайтам.

Контроль трафика на всем семействе Astra Linux, Ubuntu и CentOS. Скоро обещают, что добавится и device sniffer.

Одно из моих любимых.
Добавился контроль агентов. Если в течение какого-то времени агент не отстукивает серверу, запускается его переустановка.
Причем теперь агенту для обновления нужен только интернет для коннекта с сервером и даже необязательно нахождение внутри корпоративной сети.

Репорт-центр

Его больше нет как отдельной сущности. Аллилуйя! А еще забываем о постоянной синхронизации его баз – теперь она циклична.

Профайл-центр


Его польза для меня очевидна. Зачем ловить постфактум инциденты, если какую-то часть из них можно предвидеть. Да и знать своего сотрудника не только в лицо для меня прямо хлебушек с маслом.

Как это работает в технике мне сказать сложно, но визуально вкладка с ним выглядит очень скромно и минималистично, а значит не надо мучиться с настройками.

Честно сказать, кому какое дело, как там работают эти алгоритмы. Люди, которые разрабатывали этот продукт, явно много лет посвятили профайлингу и работе с живыми людьми. Если бы такой разработкой занялись люди, которые могут быть супер-разработчиками и супер-инженерами, но в психологии ничего не понимают, то тогда это было совсем странно.
Надо тестировать. Потребности на рынке в таком продукте точно есть, особенно в службах безопасности и очень продвинутом HR. Ну и конкурентов как минимум на российском рынке UBA и DLP особо-то и нет.

По словам вендора, в среднем 1-2 месяца нужно накапливать данные для построения достоверного портрета сотрудника. Да, как в фильмах путем мгновенного высасывания мозга через ухо пока не работает, если кто мечтал об этом.

Скорость поиска

Про быстроту поиска и изменилось ли в ней что-то, ничего сказать не могу, визуальным анализом этого не поймешь. Разработчик рассказывает о выпуске принципиально нового поискового движка, лишенного старых проблем. Объясняется новой 64х архитектурой, не имеющей программных ограничений (как было в старом движке) по памяти, ядрам и потокам. С технической точки зрения звучит вполне обоснованно, но сама о реальной скорости судить не берусь. Нужны данные. Много реальных данных…

Еще раз дайджест:

  • интерфейс не утратил своей простоты и понятности;
  • общий клиент с репортом поженились и усыновили профайл-центр, так получилась дружная семья — консоль аналитика;
  • алерт-центр пока не сдается и живет в отдельной квартире;
  • LiveView теперь в отдельном окошке объединенной консоли;
  • кейлоггер сдался и включил режим запрета сбора паролей;
  • агенты научились бороться с жестокостью этого мира и теперь используют переустановку в автоматическом режиме, мониторинг собственной работоспособности и прочие плюшки;
  • загадочный профайл-центр выглядит весьма дружелюбно;
  • теневая копия данных, находящихся на флэшке, — для особо фанатеющих от своей работы офицеров безопасности;
  • морально готовым к переходу на линуксы можно уже начинать радоваться;
  • атавизм файлового контроллера реинкарнировал в крутой сканер с разметкой данных;
  • телеги, сани, лыжи и прочие ватсапы: мы вас не боимся, мы вас перехватываем во всех позах;
  • сканирование облаков для тех, кто идет в ногу со временем.

Надеюсь, что у меня будет возможность погрузиться в новый КИБ поглубже и рассказать вам еще много интересного.

Возможно даже возьмем интервью с провокационными вопросами у вендора и покажем все, что скрыто.

Сегодня были опубликованы факты о взломе известной в узких кругах компании SearchInform, занимающейся борьбой с утечками информации. По некоторым сведениям, это не фейк и не своеобразная PR-компания одиозного руководителя SearchInform, как некоторые предположили.


Т.е. компанию действительно скомпрометировали. Особую пикантность событию придает тот факт, что утекли конфиденциальные данные о сделках, клиентах, особенностях работы DLP-системы компании, которая сама занимается борьбой с утечками. При этом анонимыне злоумышленники утверждают, что взлом был осуществлен в 2012-м году и с тех пор компания-жертва даже не догадывалась, что у нее утекают данные. Впору вспомнить пословицу про сапожника без сапог. Но поговорить я бы хотел не об этом и даже не о том, что для компании, занимающейся безопасностью, быть взломанной - это мягко говоря неприятно. Могут быть серьезные последствия для бизнеса. Поговорить хотелось бы о том, что делать, если такой жертвой стали вы сами!

Первым делом я бы хотел охладить пыл тех, кто начнет активно глумиться над SearchInform. Вы уверены, что с вами такого не произойдет или не произошло? Сейчас настало то время, когда 100%-й гарантии защищенности нет ни у кого - ни у потребителей, ни у разработчиков средств защиты. Как показывает ежегодный отчет Cisco по информационной безопасности, целенаправленных атак становится все больше. А если посмотреть на статистику за последние 10 с лишним лет, то ситуация и вовсе пугающая.

Такие угрозы могут попасть в корпоративную сеть (даже разработчика по безопасности) кучей разных способов - через периметр, через "левую" точку доступа, установленную для облегчения работы, через 3G/4G-модем, через мобильное устройство, обновляемое через ActiveSync. Да мало ли еще как. И гарантировать, что угроза не попадет или не попала в сеть сегодня невозможно.


Поэтому с точки зрения защиты так важно не просто пытаться построить "стену" вокруг защищаемого актива (для этого нужны МСЭ, VPN, сканеры уязвимостей, системы управления патчами, NAC и другие технологии контроля доступа); это необходимо, но уже недостаточно. Необходимо быть готовым обнаруживать атаку во время ее проникновения в сеть (с помощью IPS, антивирусов и систем контентной фильтрации). Но и этого мало. Нельзя полностью исключать компрометацию сети или отдельных узлов. Поэтому нужны средства и технологии обнаружение уже взломанных устройств, локализация угрозы с целью недопущения ее распространения по сети и выхода за ее пределы, "лечения" и устранения последствий. Только при такой трехзвенной архитектуре (ДО, ВО ВРЕМЯ и ПОСЛЕ атаки) можно быть уверенным, что вероятность нанесения ущерба будет сведена к минимуму. Мы в Cisco, например, именно под влиянием этих тенденций анонсировали изменение своей стратегии защиты и обновление продуктовой линейки.


Но это краткое отвлечение на тему: "Почему это произошло и что делать, чтобы этого не повторялось?" Вернемся к ключевому вопросу: "Что делать после взлома?" Сразу отмечу, что факт взлома не всегда влечет за собой негативные последствия для пострадавшей компании. Все зависит от того, что будет жертва делать после инцидента и как она себя поведет на публике. Если вспомнить статистику годовалой давности, то многие компании вообще никак не реагируют на инциденты. Это этакий ИТ-шный подход. Ну сбойнуло и сбойнуло. Устранили причины инцидента и пошли вперед, не оглядываясь назад, не извлекая уроков и не занимаясь разбором полетов. Это одна из возможных стратегий. Не хорошая и не плохая. Просто одна из. Но именно ее следствием является часто удар по репутации и снижение доходов. Может быть жертва и извлекла уроки и повысила свою защищенность многократно, но общественность про это не знает и по-прежнему считает, что в жертве работают лохи, неспособные не только защитить клиентов, но и защитить себя.

Есть и другая стратегия. Поговорить с общественностью открыто и без недомолвок. Да, взломали. Да, произошло то-то и то-то. Да информация утекла. Неприятно, но серьезных последствий удалось избежать. Канал утечки был идентифицирован и прикрыт. Расследование проведено. Причины инциденты определены. Виновные наказаны. Уроки извлечены. Вот наш отчет об инциденте. Мы открыты и готовы ответить на все вопросы, некасающиеся конфиденциальной информации наших клиентов и партнеров. Отношение к такой жертве становится совсем иным. Кто-то ей просто сочувствует, а кто-то и превозносит. Ну как же. Компания пострадала, но с честью вышла из этой ситуации. Не сокрыла ничего, а поделилась информацией. Не закрыла глаза на проблему и не игнорировала запросы от клиентов и партнеров. Да еще и провела мастер-класс по расследованию и извлеченным урокам. Пять баллов. Так держать! И т.п. Т.е. изначальное поражение было обращено себе во благо и из него извлечены даже какие-то преимущества. Как минимум, с точки зрения PR.

9 лет назад я уже делал презентацию на эту тему. Могу заметить, что она не потеряла актуальности. Поэтому выложу ее еще раз - может кому-то будет полезным. Также напомню, что этот аспект управления инцидентами рассматривается и в моем одноименном курсе .

1. Введение
2. Контроль переписки сотрудников в социальных сетях и мессенджерах
3. Перехват информации, отображаемой на мониторах пользователей
4. Контроль утечки информации через съемные носители
5. Обнаружение передачи файлов, защищенных паролем
6. Контроль рабочего времени и эффективности сотрудников
7. Мониторинг деятельности сотрудников в режиме реального времени
8. Контроль связей сотрудников внутри компании и с внешним миром
9. Работа с графическими файлами
10. Выводы

В первой части обзора DLP-системы «Контур информационной безопасности SearchInform» мы подробно рассказали об архитектуре решения, системных требованиях и функциональных возможностях продукта. Сегодня мы продолжим разговор о продукте и покажем на примерах, как работает данная система. К сожалению, ввиду того, что продукт «Контур информационной безопасности SearchInform» обладает широким функционалом, нет возможности в рамках одного обзора подробно разобрать и показать все его возможности и сценарии использования. Поэтому мы выбрали только наиболее интересные кейсы, которые могут иметь место в повседневной жизни компаний.

Контроль переписки сотрудников в социальных сетях и мессенджерах

Аудитория социальных сетей растет стремительными темпами. Кроме персонального применения, социальные сети также стали эффективным способом коммуникаций в бизнесе. С помощью них можно вести деловую переписку с коллегами, партнерами и клиентами, делиться маркетинговыми материалами, совершать видеозвонки и многое другое. Тем не менее бесконтрольное использование социальных сетей в корпоративной среде может обернуться негативными последствиями для компаний. Рассмотрим один из таких случаев и покажем, как можно контролировать данный канал утечки с помощью DLP-системы «Контур информационной безопасности SearchInform». Сотрудник коммерческого отдела общался через социальную сеть «ВКонтакте» c поставщиком компании. Через некоторое время поставщик начал выставлять завышенные требования на основании данных, которые он не мог получить из открытых источников. Это привело к конфликту, компании грозили убытки. Специалисты службы информационной безопасности компании установили, что сотрудник в ходе общения в социальной сети передавал поставщику избыточную информацию.

2.jpg


Рисунок 2. Настройка параметров блокировки для социальных сетей и мессенджеров в «КИБ SearchInform»

3.jpg


Рисунок 3. Просмотр видеозаписи происходящего на рабочем столе у сотрудника в «Контуре информационной безопасности SearchInform»

Подозрения, что специалист решил уволиться и активно мониторит рынок труда, подтвердились. Служба информационной безопасности сообщила о ситуации руководителю предприятия. Так как юрист был ценным специалистом, с ним обсудили условия, при которых он остался бы на прежнем месте работы. Таким образом, компания сохранила сотрудника.

Контроль утечки информации через съемные носители

Тема контроля утечек информации через съемные носители — не новая. Выявив факт несанкционированного переноса данных на флешку и проведя глубокий анализ инцидента с помощью инструментов «Контур информационной безопасности SearchInform», можно выяснить много полезной информации. Следующий кейс посвящен этой теме. В компании было выявлено аномальное количество файлов, скопированных на внешние носители. Специалисты службы информационной безопасности провели детализацию отчета по пользователям и выявили сотрудницу, которая копировала основную часть из общего количества файлов. Анализ показал, что копировалась строго конфиденциальная, касающаяся коммерческой тайны информация: база клиентов, условия сделок, договоры. Специалисты службы информационной безопасности провели дополнительный анализ переписки сотрудницы в Skype и в личной почте (при этом исключили переписку с сотрудниками компании по корпоративной почте для уменьшения количества результатов) и одновременно запустили политику для проверки этих же каналов общения по словарю на тематику «хочу уволиться/собираюсь уходить». Оказалось, что сотрудница действительно собралась уволиться. Также в результате расследования выяснилось, что она копировала файлы, чтобы использовать их потом на новой работе. Чтобы избежать подобных ситуаций, рекомендуем создать ряд политик, способных не только детектировать пересылку конфиденциальных документов вовне, но и проверять правила хранения таких данных в корпоративных хранилищах или на локальных станциях, а также вести аудит обращений к данным.


Рисунок 4. Настройки индексирования СУБД в Search Server

Рисунок 5. Создание политики для СУБД в AlertCenter

Обнаружение передачи файлов, защищенных паролем

Как мы уже говорили в первой части обзора, недобросовестные сотрудники (инсайдеры) могут пытаться обмануть службу безопасности, чтобы получить в личное распоряжение ценную корпоративную информацию. Например, они могут изменять расширение передаваемого документа или записывать данные в архив, защищенный паролем. «Контур информационной безопасности SearchInform» позволяет:
• распознавать текст в графических файлах и осуществлять поиск по ним;
• обнаруживать передачу защищенных паролем архивов по всем каналам возможной утечки информации;
• выявлять пересылку файлов с умышленно измененным типом документа.
Рассмотрим кейс, когда сотрудник пытался похитить информацию, отправив запароленный файл на свою личную почту. С помощью политики «Запароленные документы» был выявлен файл, отправленный сотрудником на личную почту. Специалист по информационной безопасности через модуль KeyLogger (основная функция — перехват нажатых клавиш, а также перехват текста из буфера обмена) выяснил пароль сотрудника. Специалисты по информационной безопасности открыли документ, применив полученный пароль, и обнаружили, что сотрудник компании отправлял на личную почту информацию о бюджетах. Таким образом, ИБ-специалисту удалось не только детектировать нарушение, но и получить доступ к скрытым сотрудником данным. Подобных инцидентов можно избежать, если, например, запретить сотрудникам отправку по почте самостоятельно зашифрованных архивов. Рисунок ниже показывает, как настраивается блокировка отправки зашифрованных архивов в DLP-системе «КИБ SearchInform».

6.jpg


Рисунок 6. Настройка правил блокировки зашифрованных архивов в «Контуре информационной безопасности SearchInform»

Контроль рабочего времени и эффективности сотрудников

Трудно представить руководителя компании, которого бы не интересовало, как сотрудники проводят рабочее время: какую долю времени они исполняют служебные обязанности; с какой целью и в каком объеме они пользуются сервисами в интернете; какую информацию передают по электронной почте и набирают в текстовом редакторе. Контроль соблюдения сотрудниками трудового распорядка, их активности в течение рабочего времени, а также анализ их работы в запускаемых приложениях позволяют не только решить вопросы информационной безопасности и дисциплины, но и стимулируют сотрудников эффективно использовать рабочее время. Конечно, ничего страшного, если сотрудник хочет сделать небольшую паузу и отвлечься, например, на просмотр ролика на YouTube. Но могут быть и менее безобидные случаи. Давайте рассмотрим пример, когда служба информационной безопасности с помощью DLP-системы «Контур информационной безопасности SearchInform» вычислила сотрудника, который на рабочем месте занимался подработкой. Специалистами службы информационной безопасности при анализе инцидентов по политике использования некорпоративной почты обнаружили частую отправку писем одним из сотрудников с адреса почты с корпоративным доменом, который отличался от корпоративного домена организации. Специалисты настроили запрос для анализа всех писем, отправленных и полученных с этого адреса. Проанализировав текст переписки, специалисты выяснили, что сотрудник активно занимается сторонней коммерческой деятельностью в рабочее время. Более тщательный анализ активности сотрудников позволил выяснить, что в мошенническую схему вовлечено еще несколько сотрудников отдела — двое занимались мониторингом заявок на интернет-площадках, еще двое участвовали в составлении документации.

7.jpg


Рисунок 7. Отчет по группам сайтов в «Контуре информационной безопасности SearchInform»

Мониторинг активности сотрудников за рабочими компьютерами осуществляется модулем ProgramSniffer. В ReportCenter предусмотрена возможность формирования разнообразных отчетов (например, отчеты по группам программного обеспечения и сайтов), позволяющих составить представление о рациональности использования рабочего времени тем или иным пользователем, а также о соблюдении им политик безопасности организации. Это позволяет выявить, какие ресурсы используются чаще и дольше остальных и какими именно сотрудниками. Дополнительную информацию можно получить с помощью скриншотов или видеозаписи во время запуска тех или иных процессов. Стоит отметить, что основная проблема аудита пользовательского времени — «ручная» обработка результатов. Специалисту по безопасности приходится анализировать и распределять массу различных сайтов, ведь не всегда по названию можно определить его назначение. Для решения этой проблемы в системе «Контур информационной безопасности SearchInform» реализован «автокатегоризатор», который проверяет все сайты и относит их к одной из 80 тематических категорий.

8.jpg


Рисунок 8. Настройка «автокатегоризатора» сайтов в «КИБ SearchInform»

Мониторинг деятельности сотрудников в режиме реального времени

Если сотрудник проявляет подозрительную активность, необходимо установить более пристальный контроль за его действиями — вести видео- или аудиозаписи, проводить аудит файловых операций, онлайн-наблюдение и фиксацию нажатых клавиш. Эта информация может оказаться критичной при проведении расследования и сборе доказательств вины нарушителя. Приведем типовой пример такой ситуации. В компании резко снизилось количество сделок. Действующие клиенты не продлевали договора, текущие сделки «буксовали» и срывались. Один из клиентов сообщил, что есть поставщик, который предлагает более выгодные условия. Необходимо было выяснить, откуда конкуренты узнают условия и цены, предлагаемые клиентам. Особый контроль был установлен за отделом продаж. Из «Отчета по связям пользователей» в ReportCenter за последний месяц выявили связь одного из руководителей с человеком из конкурирующей компании. Специалист по информационной безопасности из отчета перешел в переписку и увидел письмо: «Информацию передам в руки, там условия, цены, клиентская база». На следующий день ИБ-специалист непрерывно следил за руководителем через модуль MonitorSniffer, а также вел видеозапись происходящего на рабочем столе.

9.jpg


Рисунок 9. Наблюдение за компьютером сотрудника в режиме LiveView через консоль администратора «Контура информационной безопасности SearchInform»

10.jpg


Рисунок 10. Удаленное выключение компьютера через консоль администратора «Контура информационной безопасности SearchInform

Все собранные в ходе расследования материалы легли в основу доказательной базы при предъявлении претензий работодателя к инсайдеру, а также позволили собрать полный пакет необходимых документов для возбуждения уголовного дела.

Контроль связей сотрудников внутри компании и с внешним миром

11.jpg


Рисунок 11. «Отчет по связям пользователей» в модуле ReportCenter
Граф отношений, будучи наделен свойствами интерактивности, дает наглядное представление о связях внутри коллектива по всем основным каналам коммуникации, а также о круге общения того или иного пользователя. Выявить, с кем устанавливались контакты с данной учетной записи на компьютере на протяжении заданного периода времени, с помощью механизмов DLP-системы не составляет труда.

12.jpg


Рисунок 12. Визуализация связей в модуле ReportCenter, в которых выявлены нарушения политик безопасности

Работа с графическими файлами

13.jpg

Для работы с отсканированными документами DLP-системы используют технологию преобразования изображения в текст (OCR). Но что делать, если объектами контроля являются именно графические файлы, например чертежи, схемы и прочие изображения? Следующий пример посвящен именно этой теме. Специалисты службы информационной безопасности с помощью модуля Cloud & SharePoint, который контролирует входящие и исходящие данные облачных сервисов, заметили, что сотрудник отдела продаж выгрузил отсканированные документы в общедоступное облачное хранилище. После анализа выгруженных файлов оказалось, что эта информация относится к коммерческой тайне, и если достанется конкурентам, то может принести существенный финансовый ущерб. Утечка была своевременно предотвращена, а сотрудники службы информационной безопасности провели дополнительный инструктаж по правилам информационной безопасности. Стоит отметить, что важно разделять личные и корпоративные данные. Если они хранятся в текстовом формате, то разделение будет автоматическим, согласно заданным политикам. Однако если данные хранятся в виде изображений, далеко не всегда OCR сможет их корректно обрабатывать. Для более точного определения, какие данные являются критичными, в системе «Контур информационной безопасности SearchInform» реализован специальный алгоритм для анализа изображений. Система определяет ключевые документы, даже если в них нет текста или OCR сработала неверно. На рисунке ниже показан пример фильтрации изображения, визуально похожего на документы.

Рисунок 13. Фильтрация изображений, визуально похожих на документы, в «Контуре информационной безопасности SearchInform»

DLP-система «Контур информационной безопасности SearchInform» способна обнаружить и проанализировать такие графические файлы, как чертежи, схемы и другие изображения.

14.jpg


Рисунок 14. Обнаружение и анализ графических файлов в «Контуре информационной безопасности SearchInform»

Выводы
Мы познакомились с комплексным решением для защиты от утечек конфиденциальной информации и контроля информационных потоков в организациях — DLP-системой «Контур информационной безопасности SearchInform». В первой части обзора мы подробно рассказали об архитектуре решения, системных требованиях, функциональных возможностях продукта, во второй части мы показали сценарии работы продукта на примерах из реальной практики. «Контур информационной безопасности SearchInform» представляет собой мощный набор инструментов для контроля каналов передачи данных, предотвращения утечек конфиденциальной информации и контроля эффективности пользователей. Применение системы существенно снижает риск утечки информации и возникновения инцидентов, вызванных внутренними пользователями. Помимо ключевой задачи, связанной с предотвращением утечек конфиденциальной информации, «Контур информационной безопасности SearchInform» решает ряд задач, связанных с контролем действий персонала. Наличие сертификата по требованиям безопасности ФСТЭК России (4 уровень РД НДВ) дает возможность использовать «Контур информационной безопасности SearchInform» в комплексе защиты информационных систем, где применение сертифицированных продуктов обязательно. Стоит отметить, что «КИБ SearchInform» занимает лидирующие позиции на российском рынке и пользуется хорошим спросом. Об этом мы уже подробно рассказывали в статье «Анализ рынка систем защиты от утечек конфиденциальных данных (DLP) в России 2013-2016». Также к преимуществам DLP-системы «Контур информационной безопасности SearchInform» можно отнести его модульную архитектуру. Это позволяет клиентам внедрять только те модули, в которых есть потребность. В случае необходимости расширения функционала системы контроля клиент может просто докупить необходимые модули и лицензии и с легкостью их интегрировать в уже функционирующую инфраструктуру безопасности «КИБ SearchInform». Рассмотренные во второй части обзора кейсы показали, что «КИБ SearchInform» «заточен» на решение конкретных практических задач. Предустановленные политики учитывают опыт крупных клиентов из различных отраслей и позволяют ИБ-специалистам учиться на чужих ошибках и повторять успехи коллег по отрасли. К недостаткам можно отнести большое количество консолей управления, что может создать определенные неудобства администраторам при эксплуатации системы, а также отсутствие агентов для большинства операционных систем семейства Linux (есть агент лишь для российской ОС Astra Linux), macOS и мобильных операционных систем.
Достоинства:
• Российское решение для защиты от утечек конфиденциальной информации и контроля информационных потоков.
• Наличие сертификата соответствия ФСТЭК России.
• Гибкая система лицензирования продукта — позволяет приобрести только необходимые модули, что в итоге снижает общую стоимость решения.
• Простота внедрения и сохранение структуры локальной сети.
• Поддержка большого числа протоколов для перехвата и анализа данных.
• Широкие возможности интеграции со сторонними решениями и сервисами (AD, SIEM, прокси, почтовые сервера).
• Гибкая система построения отчетности, в том числе возможность создания графических отчетов.
• Возможность распознавания аудиозаписи в текст, а также текстовый поиск по аудио и видео.
• Развитый функционал контроля продуктивности/эффективности сотрудников.
Недостатки: Большое количество модулей (консолей) управления, что создает неудобства при управлении системой. Однако вендор заявляет, что в первом квартале 2017 года продукт будет состоять из двух консолей. Наличие агентов только под Windows и Astra Linux, отсутствие агентов для Linux, macOS и мобильных операционных систем.

Представьте ситуацию: исследование, стоившее вам баснословных денег, вдруг оказывается в Сети – потому что вместо 10 топов доступ к нему получил весь коллектив, а кто-то и «расшарил», не увидев в документе большого секрета. Или руководство планирует «резать косты» за счет квартальных премий – а сотрудники увидели черновик плана в общей папке и подняли бунт. Или недовольный сисадмин удалил весь архив бухгалтерии за год – а налоговую отчетность подавать завтра. Что тут делать?

Все это серьезные инциденты ИБ, но, чтобы от них защититься, уже недостаточно отслеживать перемещение данных за пределы организации. Важно знать, кто и как работает с конфиденциальными файлами внутри, а кто – имеет доступ, который на практике им не нужен и несет потенциальный риск. На эти вопросы отвечает «СёрчИнформ FileAuditor» — первый отечественный продукт класса DCAP (data-centric audit and protection, аудит и защита с фокусом на данных).

Инструментов для контроля конфиденциальных документов вроде бы достаточно: решения типа eDiscovery находят их в любом уголке корпоративной ИТ-инфраструктуры, встроенные средства ОС управляют доступом к ним, DLP -системы устанавливают, кто из пользователей с ними взаимодействовал – например, распечатывал или отправлял.

Однако ни один из этих инструментов не справляется с задачей комплексно. Средства ОС разграничивают доступ к файлам как «контейнерам» данных, не учитывая наполнение – без понимания ценности содержащейся внутри информации это малоэффективно. eDiscovery не проводит аудит изменений и прав доступа. Наконец, DLP-решения не считают нарушением действия с конфиденциальными файлами, если они не покидают корпоративную сеть.

Чтобы реально защитить конфиденциальные данные внутри организации, нужно постоянно отслеживать содержимое файлов и выделять среди них наиболее значимые, контролировать их перемещения, изменения, удаление, визуализировать, кто и как работает с ними в коллективе, и уведомлять о нарушении правил безопасности. Подобную детализацию при аудите файловых систем предоставляет «СёрчИнформ FileAuditor». Рассмотрим его возможности подробнее.

Архитектура решения

«СёрчИнформ FileAuditor» имеет классическую клиент-серверную архитектуру.

Серверная часть отвечает за установку и управление агентами: позволяет подключить/отключить агенты, выбрать для мониторинга компьютеры и отдельные папки на них и настроить правила сканирования. Здесь же происходит запись данных мониторинга в базы под управлением MS SQL и настройка хранилищ для архивации критически важных файлов.

Основные функции по сбору и анализу данных из файловых систем выполняют агентский компонент и служба сетевого сканирования.

Агенты системы устанавливаются в конечных точках и позволяют производить мониторинг на уровне рабочих станций и/или на файл-серверах. Служба сетевого сканирования контролирует сетевые хранилища, причем взаимодействует с ними по протоколу SMB – то есть сканирование возможно на любых устройствах вне зависимости от ОС.

Рис. 1. Схема работы FileAuditor

Функциональные возможности

FileAuditor решает следующие группы задач:

  • Мониторинг файловых хранилищ.
  • Обнаружение и классификация уязвимых данных.
  • Архивирование критичных документов.
  • Аудит прав доступа.
  • Контроль действий пользователей.
  • Управление инцидентами безопасности.

Разберем каждую из них подробнее.

Мониторинг хранилищ

FileAuditor ведет непрерывный мониторинг в конечных точках, чтобы оперативно выявлять изменения в файлах и папках. Можно гибко настроить границы мониторинга – от групп ПК и серверов до отдельных машин и каталогов.

При первом сканировании программа вычитывает всю структуру и содержимое файлов на контролируемых машинах. В дальнейшем в «поле зрения» системы попадают в первую очередь те файлы и папки, к которым обращались пользователи – открывали, редактировали, удаляли, создавали новые, переименовывали или перемещали. Причем изменения на ПК сотрудников отслеживаются в реальном времени, то есть ИБ-специалист всегда имеет актуальное представление о происходящем с данными в компании. Первичный контентный и контекстный анализ файлов тоже происходит прямо в конечных точках, функционал реализован на собственном поисковом движке. Несмотря на широкий «фронт работ», агенты незаметны для пользователей, не тормозят контролируемые машины. Это достигается благодаря настройкам:

  • расписания проверок (например, только по окончании рабочего времени);
  • условия проверок (например, только если загрузка ЦП меньше N%, только в отсутствии активных сессий и т.д.);
  • скорости сканирования (ее можно снизить для облегчения нагрузки на инфраструктуру).

Некоторые файлы и папки для экономии времени можно исключить из сканирования. Например, незачем тратить ресурсы ПО и время на анализ системных файлов. Список исключений гибко настраивается по атрибутам, названию, расположению и др.

Рис. 2. Статистика сканирования в FileAuditor

Вся информация о ходе вычитки каталогов с файлами по правилам FileAuditor доступна на вкладке «Статистика сканирования». Доступна общая статистика по всем компьютерам и сетевым ресурсам, а также подробные отчеты о сканировании отдельных устройств. ИБ-специалисты могут просмотреть, когда прошло последнее сканирование и сколько оно длилось, сколько файлов было проверено и какой объем они занимают, в какие категории попадает информация в них и не было ли ошибок во время вычитки.

Классификация данных

В отличие от традиционных средств контроля файловых систем, FileAuditor классифицирует файлы не только по названию или расположению. Программа анализирует содержимое файлов, делит их на категории и выделяет среди них конфиденциальные. Для этого предварительно задаются правила классификации – какими ключевыми признаками должен обладать файл, чтобы попадать в ту или иную категорию.

Искать эти признаки программа может:

  • По ключевым словам, фразам и последовательности символов (иноязычные вставки, @, №, $, % и т.д.). Поддерживается поиск «ключевиков» с морфологией, т.е. в измененных формах. Можно уточнить поиск, указав, сколько раз в документе должны встречаться искомые слова и фразы. Если искать сразу несколько ключевых слов, можно задать, какое расстояние в документе между ними допустимо, чтобы считать сочетание значимым.
  • По словарям. В программе есть встроенный редактор, который автоматически преобразует в готовый словарь любой текст-образец, загружаемый пользователем. Этот вид поиска полезен для выделения тематических категорий документов: например, считать файл попадающим в категорию «финансовые документы», если в нем встретилось не менее 5 выражений из словаря бухгалтерской терминологии.
  • По регулярным выражениям. В программе есть удобный редактор для создания регулярных выражений с виртуальной клавиатурой из готовых элементов формулы поиска, все они сопровождаются подробными комментариями. Можно создавать сложные регулярные выражения, когда в одном поиске скомбинированы несколько условий. Например, учитывать в правиле классификации только файлы, где одновременно встречаются не менее 5 комбинаций из номеров карты и трехзначных CVC/CVV-кодов. Кроме того, можно сразу убедиться, что запрос работает корректно: доступно поле проверки, где можно задать пример искомой комбинации символов и протестировать, распознает ли его система.

Рис. 3. Редактор регулярных выражений в FileAuditor

  • По атрибутам. Критерий позволяет относить к правилу классификации только файлы определенного типа, размера, созданные или измененные в заданном интервале, хранящиеся в определенной директории и т.д.

Одно правило может сочетать сразу несколько видов поиска, критерии объединяются с помощью логических операторов. Для удобства в системе есть готовые шаблоны правил, которые легко адаптировать к потребностям организации. Также можно создать и использовать собственные шаблоны.

Правила классификации можно применять ко всем файлам в корпоративной инфраструктуре или для отдельных машин/директорий. В результате вся значимая информация в пределах компании будет рассортирована по категориям – «Офисные файлы», «Контракты», «Прайсы», «Персональные данные» и т.д. Система обнаружит все файлы, относящиеся к ним, где бы они ни находились, и поставит на них соответствующие «метки».

Рис. 4. Цветная маркировка правил и подсветка ключевых фрагментов документа в FileAuditor

Эта разметка визуализируется в виде цветных маркеров. При просмотре содержимого файла в режиме «Только текст» подсвечиваются фрагменты, по которым программа определила принадлежность к заданной категории.

Архивирование критичных документов

Чтобы защитить документы от несанкционированных изменений, FileAuditor создает теневые копии файлов. Можно хранить несколько последних версий нужных файлов – по ним удобно отслеживать, как именно пользователи редактировали документ и не исказили ли содержимое. При желании нужную версию можно восстановить. Это гарантирует, что информация не будет потеряна, даже если документ случайно или намерено удалят. При этом все теневые копии хранятся в зашифрованном виде, так что не могут быть скомпрометированы в хранилище FileAuditor.

Программа сохраняет только те объекты, для которых заданы соответствующие настройки, поэтому сервер не перегружен копиями лишних файлов. Реализована и система дедупликации: если идентичные копии одного и того же файла обнаруживаются в нескольких точках сети, то в хранилище FileAuditor попадет только один экземпляр.

Кроме того, можно определить количество сохраненных версий каждого уникального файла, тогда устаревшие копии, с которыми пользователи перестали взаимодействовать, будут автоматически удаляться из выдачи. Чтобы хранилище не перегружалось, можно очистить теневые копии файлов, которые больше не нуждаются в контроле – если были удалены правила их контроля или они находились на машинах, которые исключили из мониторинга.

Аудит прав доступа

FileAuditor определяет права доступа пользователей к каждому документу благодаря вычитке сведений из ресурсов файловой системы. Вся нужная информация собрана в едином представлении – не приходится привлекать дополнительные инструменты. Аудитор видит:

  • перечень групп и конкретных сотрудников, которым доступен файл;
  • перечень операций, доступных каждому пользователю с конкретным файлом/директорией.

В программе есть фильтры, которые помогают конкретизировать выдачу для более детального анализа прав доступа. Для каждого файла можно найти всех пользователей с определенными разрешениями – например, всех сотрудников, кто может редактировать и удалять файл, или только тех, кому доступ к файлу запрещен. И наоборот: можно искать, какие файлы доступны или запрещены к использованию заданным пользователям/группам пользователей.

Наиболее полная информация о пользовательских разрешениях доступна в отчетах «Права доступа к ресурсам» и «Владельцы ресурсов». Последний особенно полезен, чтобы проконтролировать появление новых объектов в файловой системе и распределить права доступа к ним.

Рис. 5. Отчет «Права доступа к ресурсам» в FileAuditor

Контроль действий пользователей

FileAuditor предоставляет детальную информацию обо всех пользовательских операциях с файлами. Для каждого документа в контролируемых хранилищах можно просмотреть историю обращений: кто и когда открывал или редактировал искомый файл.

Рис. 6. Просмотр операций с файлом в FileAuditor

Кроме того, с помощью фильтров можно сузить выборку файлов в зависимости от того, какую критичную операцию необходимо отслеживать. Например, можно выбрать только документы, которые в заданный промежуток времени:

  • были изменены;
  • переименованы;
  • перемещены;
  • удалены;
  • получили новые настройки прав доступа;
  • попали под правило или перестали ему соответствовать.

Критерий «Контроль файла прекращен» указывает на ситуации, когда в документе исчезли признаки, по которым система определяла его принадлежность к той или иной категории. Например, если пользователи удалили из текста гриф «коммерческая тайна». Технически система перестанет считать такой файл конфиденциальным, однако зафиксирует операцию для дальнейшего расследования. Это помогает раскрывать инциденты, связанные с попытками кражи важных документов и обмана систем безопасности.

Рис. 7. Расследование инцидента в FileAuditor: сотрудник изменил содержимое документа, чтобы он перестал попадать под правило, и переместил его в папку «Не забыть унести»

Для самых критичных документов целесообразно настроить специальные политики безопасности, которые будут отслеживать заданные операции с файлами и оповещать аудиторов, кто и когда их совершил.

Управление инцидентами

Политики безопасности в FileAuditor помогают вовремя среагировать на нежелательные события с заданными категориями данных. Настроить автоматизированный поиск нарушений можно:

  • по категории файла или папки (в соответствии с правилами классификации);
  • по расположению;
  • по типу;
  • по расширению;
  • по пользовательским правам доступа;
  • по дате создания или изменения и т.д.

Например, можно создать политику, которая оповестит, если новые пользователи получили расширенные права доступа к документам из категории «Финансовая отчетность».

Рис. 8. Сработка политики безопасности FileAuditor: новые пользователи получили права на редактирование контролируемого документа

При срабатывании политики система отправит оповещение ИБ-специалисту и сохранит результаты поиска на вкладке «Инциденты». Там можно изучить срез по каждой сработке и сопутствующую информацию о попавших в поле зрения политики файлах: где и как они хранятся, к каким категориям относятся, кому принадлежат и кто еще имеет к ним доступ.

Для профилактики инцидентов можно заранее заблокировать нежелательные действия пользователей. Запреты можно задать для всех или отдельных пользователей/ПК, а также настроить исключения. Например, запретить чтение файлов из категории «Коммерческая тайна» всем пользователям, кроме топ-менеджмента. О заблокированных попытках доступа/изменений ИБ-специалисты смогут узнать из результатов аудита.

Еще больше блокировок доступно при интеграции FileAuditor с DLP-системой «СёрчИнформ КИБ».

Возможности интеграции

FileAuditor – самостоятельный продукт, при этом может интегрироваться с другими системами информационной безопасности. Программа взаимодействует с DLP-системами любых производителей, а с решением «СёрчИнформ КИБ» интегрируется бесшовно в рамках единого интерфейса.

Совместное использование кратно усиливает уровень ИБ, так как под контролем оказываются не только внешний периметр организации, но и внутренняя экосистема. FileAuditor покажет, у кого конфиденциальные документы хранятся в нарушение политик безопасности, а DLP-система позволит отследить, кто, когда, кому отправлял файлы, и наглядно продемонстрирует это по контентным маршрутам.

Также FileAuditor поддерживает интеграцию с SIEM и SOC.

На российском рынке только начинают появляться отечественные решения, которые бы полностью брали под контроль файловую систему в компании. «СёрчИнформ FileAuditor» — первая полнофункциональная разработка такого рода в классе DCAP.

Программа позволяет структурировать информацию, создает наглядную картину того, как много конфиденциальных файлов хранится в системе, кто к ним обращается и имеет ли на это право. А интегрирование FileAuditor с DLP-системами и другими инструментами информационной безопасности обеспечивает комплексное расследование обстоятельств нарушений.

Доступно бесплатное тестирование полнофункциональной версии «СёрчИнформ FileAuditor» на инфраструктуре заказчика.

Достоинства:

  • Работа по протоколу SMB независимо от ОС (для сетевого сканирования).
  • Полностью отечественный продукт – аналитическая компонента (поисковый движок) собственной разработки.
  • Высокие скорости обработки данных при низкой загрузке хранилищ (сбор и анализ данных сканирования производится на агентах без предварительной записи в БД ).
  • Возможности проактивного управления инцидентами с файлами и папками (контентные блокировки, кастомизация правил контроля для разных категорий документов/пользователей).
  • Удобная визуализация состояния файловых систем (цветовая маркировка файлов по контенту, журнал событий, отчеты о владельцах и правах доступа к ресурсам, статистика сканирований и т.д.).
  • Архивирование критичной информации (теневое копирование последних версий файлов из заданных категорий).
  • Хорошие возможности интеграции – с DLP , SIEM-системами, SOC и другими решениями для информационной безопасности.
  • Управление только из приложения (нет web-интерфейса).
  • Требуются лицензии на стороннее ПО (серверная ОС Windows).
  • В текущей версии отсутствует возможность прямой настройки разрешений файловой системы (NTFS).

2019: Коммерческий релиз «СёрчИнформ FileAuditor»

3 сентября 2019 года компания «СёрчИнформ» объявила о коммерческом релизе продукта – «СёрчИнформ FileAuditor». Решение относится к классу DCAP-продуктов (аудит и защита неструктурированных данных) и позволяет контролировать файлы, которые содержат критичные данные, отслеживать изменения в них (создан, изменен, «расшарен», перемещен, удален) и делать теневую копию последних редакций. Система показывает, кто из пользователей совершал эти действия, обнаруживает нарушения прав доступа.

По информации компании, возможности не ограничиваются только файлами — для папок также доступна аналитика содержимого в ней контента или измененных прав. Благодаря программе у ИБ-специалиста появляется наглядное представление о том, что происходит в файловой системе. Это решает задачу контроля передачи конфиденциальной информации пользователям, не имеющим прав доступа к ней.


рассказал Лев Матвеев , председатель совета директоров «СёрчИнформ»

Система отслеживает местонахождение конфиденциальных данных с помощью нескольких видов поиска: по тексту, регулярным выражениям, атрибутам файла (типу, размеру, местоположению). Возможно создавать комплексные поисковые запросы, например, искать по фрагменту текста и атрибуту файла одновременно, а также по выбранным директориям и компьютерам пользователей. Анализ данных «СёрчИнформ FileAuditor» производит как на локальных ПК, так и на серверах, что позволяет снизить расходы на закупку оборудования для хранения данных.


рассказал Алексей Парфентьев , руководитель отдела аналитики «СёрчИнформ»

Читайте также: