С 1 января 2025 года вступил в силу запрет для госсектора и КИИ на использование иностранного ПО, включая системный софт, а также средства защиты информации. Теперь организациям нужны ИБ-решения, которые одинаково хорошо встроятся в импортозамещенную инфраструктуру – и смогут ее защитить.

DLP-система «СёрчИнформ КИБ» может и то, и другое. В материале коротко рассказываем, как она это делает.

1. Внедрение

Дата-центр «СёрчИнформ КИБ» работает на сервере, управляет работой агентов и анализирует полученную от них информацию. Внутри импортозамещенной инфраструктуры развернуть эту часть системы можно на ОС Astra Linux 1.7 и Ubuntu 22.04 LTS.

Данные перехвата и собственные настройки КИБ может хранить в свободно распространяемой СУБД PostgreSQL и отечественных СУБД на ее основе: PostgreSQL Pro.

В свою очередь, агенты КИБ отвечают за сбор информации об активности на ПК сотрудников: запуске ПО, посещении сайтов, работе с файлами и устройствами. Анализируя эти данные, система обнаруживает вредоносные или потенциально опасные действия – утечки, мошенничество, саботаж, – сообщает ИБ-специалисту и может остановить угрозу.

Агенты «СёрчИнформ КИБ» контролируют компьютеры с российскими ОС Alt Linux , Astra Linux (включая защищенные версии «Орел», «Воронеж», «Смоленск»), RedOS , а также опенсорсными CentOS и Ubuntu.

При этом система защитит компанию, даже если в ИТ-инфраструктуре пока замещены не все компоненты. Например, можно развернуть сервер КИБ на Linux и контролировать разнородный парк пользовательских машин: Linux, Windows и Mac одновременно.

2. Настройка и управление

Вся работа ИБ-специалиста с КИБ происходит в единой веб-консоли.  Она доступна в браузере с любого устройства, поэтому ИБ-специалисту удобно оперативно включиться в работу откуда угодно.

В консоли решаются все прикладные задачи: начиная от настройки параметров контроля заканчивая просмотром перехвата и расследованием инцидентов. Слева в интерфейсе собраны основные инструменты, между которыми удобно переключаться в зависимости от потребностей. За администрирование и настройку отвечают:

• Data Center – для настройки хранения и обработки данных в DLP, управления лицензиями, доступом к системе и работой служебных компонентов.
• SearchServer – для настройки инструментов обработки данных и индексов перехвата по каналам контроля.
• Endpoint Controller – для управления агентами и настройки компонентов КИБ, ответственных за сбор данных в том или ином канале.

КИБ контролирует все каналы передачи информации: почту, мессенджеры, веб-сайты и сервисы, облака, сетевые хранилища, съемные носители, средства печати и удаленного доступа. Также система отслеживает активность пользователей в ПО и фиксирует происходящее на экране их ПК, может подключаться к веб-камере и микрофону сотрудников для их идентификации или контроля переговоров. Вместе это обеспечивает полную прозрачность движения информации и действий сотрудников за ПК, чтобы эффективно выявлять, предотвращать и расследовать инциденты ИБ.

Кроме того, «СёрчИнформ КИБ» хорошо интегрирован с отечественным стеком на уровне прикладного ПО. Система контролирует широкий перечень российских мессенджеров, ВКС, бизнес-платформ, облаков и т.д. Это важно, чтобы не терять контроль над импортозамещенными сервисами, с которыми сотрудники реально работают в новых условиях.

3. Мониторинг и расследования

За «оперативные» задачи в веб-консоли КИБ отвечают несколько компонентов.

Alert Center автоматически обнаруживает инциденты ИБ по 250+ готовым политикам безопасности различной тематики. Политики созданы с учетом потребности разных отраслей бизнеса и различных видов угроз: от утечек информации до мошенничества, саботажа или подготовки к увольнению. Можно создавать свои политики, настраивать расписание проверки и параметры уведомлений. Проверка по политикам работает даже в ретроспективе: по архиву перехвата за настраиваемый период.

WebAnalytic служит для поиска и углубленного анализа перехваченной информации. Позволяет изучать контекст инцидентов и смежные с ними события, а также контролировать текущую активность пользователей в режиме онлайн.

Быстро просмотреть все данные по потенциальным виновникам можно в Карточке пользователей. Там собраны должность, контакты, характеристики сотрудника, а также краткие отчеты по его активности и участию в инцидентах. Кроме того, можно проверить, где находятся ПК сотрудников на Карте местоположения. 

Организовать работу над расследованием помогает Task Management – планировщик задач для ИБ-отдела, который позволяет распределять работу и удобно объединять всю «фактуру» по каждому инциденту. Отсюда же можно удобно отчитаться по результатам регулятору (работает прямая интеграция с ГосСОПКА, отчет создается по готовой форме) или руководителю бизнеса (со статистикой, деталями инцидентов и прикреплением доказательств). Еще больше отчетов собрано в Report Center. Доступно много готовых шаблонов, которые можно адаптировать «под себя».

4. Активная защита

Кроме подробного мониторинга инцидентов «СёрчИнформ КИБ» может действовать проактивно. По гибким условиям настраиваются блокировки, они распространяются на отдельные опасные действия сотрудников или целые каналы связи.

Для ПК на Linux можно ограничить:

• Доступ к подключенным USB-устройствам (сетевым адаптерам, флешкам и др.). 
• Запись данных на USB (по контексту и контенту).
• Доступ к DVD и CD дисководам. 
• Доступ к модемам и сетевым адаптерам.
• Посещение запрещенных сайтов (или целых категорий сайтов) по HTTP(S). 

Также в Linux-инфраструктурах можно развернуть почтовый карантин. Он останавливает письма, которые нарушают политики безопасности: содержат подозрительный контент, запрещенные к пересылке вложения или направлены нежелательному адресату. В веб-консоли можно настроить политики карантина, работать с самими письмами, принимать решения: заблокировать письмо или разблокировать и доставить адресату.

Итого

В сумме «СёрчИнформ КИБ» подходит любой компании, для которой актуально импортозамещение:

• Поможет выполнить требования регуляторов.
• Обеспечит реальную защиту бизнес-процессов в новой инфраструктуре.
• Облегчит «переходный» период без потери контроля.