Подготовили традиционный дайджест обновлений «СёрчИнформ». Разбираем главные новинки в наших продуктах за первое полугодие 2025 года и подсказываем, как воспользоваться ими эффективно.
В DLP-системе «СёрчИнформ КИБ» расширился функционал перехвата информации. Появилась поддержка ВКС Vinteo и «Салют Джазз», мессенджеров Matrix, Synology Chat, Iva Connect – в десктопной и веб-версии. Добавился перехват файлов из программы удаленного администрирования RuDesktop.
С большей частью новых каналов КИБ работает автоматически и не требует дополнительных настроек. Для некоторых доступен вариант гибридного контроля: интеграция настраивается в разделах EndpointController HTTP-IM или ICAP. Это помогает перехватывать данные напрямую с сервера нужного корпоративного сервиса – с какого устройства им ни воспользуются сотрудники, КИБ не допустит утечку. Таких механизмов в КИБ более десятка, подробнее рассказывали здесь.
Также обновились возможности работы с уже знакомыми мессенджерами. Например, теперь КИБ перехватывает голосовые сообщения в WhatsApp Desktop и звонки в Whatsapp Metro, «кружки» в Telegram Desktop. Расширились блокировки звонков и голосовых сообщений: теперь ограничения можно задать в Lync, Teams, Zoom и Whatsapp Desktop. Для последнего также появилась блокировка отправки любых текстовых сообщений.
На рабочих станциях и серверах под управлением Windows, на которых установлен агент «СёрчИнформ КИБ», стала доступна блокировка активных сессий. При активации функции завершится сессия активного пользователя на ПК или сессии всех пользователей на сервере – как при нажатии клавиш Windows+L. Это полезно, когда ИБ-специалисту нужно немедленно прервать опасную активность на контролируемых машинах. Например, если за компьютером сотрудника обнаружился посторонний.
Еще одно нововведение – запрет передачи файлов по HTTP и HTTPS-протоколам. Блокировка ограничит передачу файлов в браузерных версиях мессенджеров, почты, облачных хранилищ и других веб-сервисов и приложений. Сотрудники смогут пользоваться остальными функциями сайтов, но не смогут загрузить в них файлы с заданным именем и расширением.
Кроме того, появились аудит и ограничения использования USB-токенов и переносимых устройств.
Настройка блокировок стала еще гибче. Например, для «сайтов по HTTP» теперь можно добавить адрес страницы при помощи регулярного выражения. Это позволит взять под контроль сразу несколько сайтов, URL которых незначительно отличаются друг от друга. По схожей логике при «блокировке сайтов по контенту» появились категории сайтов. Они позволят добавить в правило сразу множество веб-ресурсов из одной категории.
КИБ нарастил возможности распознавания информации. Например, появилась классификация изображений и ps/eps-файлов при помощи нейросетей. Они анализируют изображения, попавшие в «поле зрения» DLP. И присваивают им класс, на который они больше всего похожи. Например, паспорт или банковская карта. Список доступных классов расширяется.
Классификацию можно использовать по-разному. Например, в карантине можно останавливать письма с определенными классами изображений. В FileAuditor – проставлять на их основе метки автоматической классификации. В Консоли Аналитика и AlertCenter удобно расследовать и автоматически выявлять инциденты, связанные с передачей изображений заданных классов.
Новая опция активируется в SearchServer. Для этого нужно перейти в настройки консоли, включить экспертный режим, выбрать пункт «Классификация документов» и настроить процент достоверности. Далее нужно включить классификацию в свойствах нужного индекса. На вкладке «Опции» в экспертном режиме перейдите в группу нужных парсеров и активируйте классификацию.
Появилось извлечение текста из QR-кодов. Это позволяет выявлять случаи, когда сотрудники пытаются вынести конфиденциальные данные, зашифровав их в графический код, или передают неизвестные ссылки. Для этого не потребуется дополнительных настроек: распознавание сработает автоматически, если вы используете OCR Content AI или Nicomsoft (для английского языка).
А при просмотре результатов распознавания аудио в КИБ появилась синхронизация текста и звука. Аудиодорожка автоматически делится на тридцатисекундные отрезки. Так удобнее ориентироваться в записи и соотносить аудио с расшифровкой.
Также появился аудит блокировок для Drag-and-Drop и мессенджеров, которые работают по ICAP. Это позволяет отследить в Консоли Аналитика все случаи, когда сотрудники пытались что-то отправить в обход ИБ-политик, а система это заблокировала. Например, для аудита блокировок Drag-and-Drop нужно выбрать индекс DeviceAudit и параметр поиска «Действие» – запрещенное.
Вендор упростил работу в инструменте Task Management. В его десктопной-версии внутри задач появилась знакомая функция «Переходы к модулям». Она позволит в пару кликов переместиться в раздел «Поиск» и расширить контекст инцидента. Еще появилась возможность создавать задачи по инцидентам в AlertCenter.
В веб-версии инструмента теперь можно настроить отправку уведомления при истечении срока выполнения задачи. Это позволит контролировать соблюдение дедлайнов среди членов ИБ-команды.
В КИБ появилось несколько новых отчетов: «Журнал итогов рабочего времени», «Свободное место на диске компьютера» и «Расширения браузеров». Они покажут средние показатели рабочей активности сотрудников, насколько «забиты» их ПК и не используют ли они потенциально вредоносные аддоны.
Еще обновились некоторые привычные отчеты, они стали удобнее и информативнее. Например, «Поиск по активности процессов/сайтов» теперь можно отобразить в виде сводного отчета.
В «Подключаемых устройствах» появился фильтр по типам устройств, а для «Установки/удаления агентов» можно задать определенные компьютеры. В «Отчете по эффективности» теперь есть отметка о том, что сотрудник работал на нескольких ПК.
Работа в карантине стала удобнее. Письма из категории «Требуется ручная обработка» теперь можно в пару кликов перенести в выбранную политику. В критериях поиска самих политик теперь можно использовать группы пользователей из Active Directory. КИБ автоматически обновляет состав групп, чтобы политики оставались актуальными.
Еще появилась возможность удобно импортировать и экспортировать белые списки карантина. И передавать атрибуты писем в сторонние системы в формате SYSLOG. Чтобы база карантина не засорялась, появился параметр «Хранить только ошибки и инциденты». При активации он удалит из базы письма, которые не попали ни под один критерий.
Также КИБ теперь может останавливать письма с файлами, на которых есть метка автоматической классификации FileAuditor. Для этого используется служба карантина на почтовом сервере. Карантин сверит хэш-сумму отправляемого файла с базой FileAuditor и ограничит пересылку, если найдет соответствие. Такой подход тратит меньше ресурсов. КИБ не нужно анализировать вложения на наличие запрещенного контента – информация об этом уже «зашита» в метку DCAP.
Чтобы включить новую опцию, нужно задать критерий политики карантина и убедиться в том, что EndpointController интегрирован с корпоративным почтовым сервером, а карантин с FileAuditor. Это можно сделать в настройках EndpointController в разделе «SMTP-карантин» и в настройках Консоли Аналитика в разделе «Общие настройки карантина».
В DCAP-системе «СёрчИнформ FileAuditor» появилась маркировка файлов по процессу. DCAP установит метку автоматической классификации на файл в зависимости от приложения, в котором он был создан. Например, в конструкторском бюро основной актив – чертежи. Значит, ценность представляют все файлы, создаваемые в AutoCad, в каком бы формате их ни выгружали. FileAuditor оперативно пометит все такие документы, не задействуя много ресурсов.
Еще FileAuditor поддержал проставление текста в колонтитулах Excel при использовании ручных меток. И запросы объяснений, по какой причине пользователи удаляют или понижают уровень метки на документе. Эти комментарии теперь доступны в качестве критерия в поиске.
В «СёрчИнформ КИБ» для Linux-инфраструктур обновились возможности блокировок. Появилась возможность ограничить использование Bluetooth, принтеров, флешек – по объему и контенту, буфера обмена, сканеров, смарт-карт и USB-токенов. А для сканеров и Android-смартфонов в режиме накопителя – поддержано теневое копирование.
Расширяются возможности контроля отечественных и гибридных инфраструктур через веб-интерфейс. Туда «переехала» консоль Endpoint Controller, которая отвечает за управление агентами КИБ. Теперь в браузере можно настраивать контроль каналов передачи информации, блокировки, модуль FileAuditor, параметры сетевого перехвата, SMTP-интеграции, а также индексы SearchServer. Для установки Endpoint Controller в веб понадобится версия консоли, предназначенная для Linux-сред.
Количество функций администрирования в веб-версии постоянно растет. Следите за обновлениями.
Веб-интерфейс пополнился и дополнительными настройками DataCenter – главного центра управления КИБ. Благодаря этому ИБ-специалист может настраивать уровень логирования консолей, журналирование операций, почтовые и Telegram-уведомления. Также в веб «переехал» раздел настроек AAServer с параметрами OCR и распознавания голоса.
Веб-консоль поддержала некоторые «десктопные» функции. В веб-AlertCenter появилась вкладка «Родной формат» и поиск инцидентов и документов по ID. В разделе «Поиск» – возможность переименовывать, дублировать и закреплять вкладки. В ReportCenter – создание пользовательских отчетов и оповещений.
Еще в веб-консоли КИБ для Linux-систем появилась вкладка «Запросы доступа». В нее попадают запросы сотрудников на использование устройств и папок, которые они отправляют из пользовательского интерфейса на своих ПК. У каждого запроса есть подробности: какой сотрудник запрашивает доступ, к какому устройству или документу, зачем, на какой срок и т.д. ИБ-специалист может скорректировать этот период, разрешить или запретить доступ.
Напомним, что продукты «СёрчИнформ» полностью адаптированы для работы в импортозамещенных инфраструктурах. Серверные компоненты «СёрчИнформ КИБ» и FileAuditor работают на отечественной Astra Linux и свободно распространяемой Ubuntu, совместимы с СУБД PostgreSQL и PostgreSQL Pro и другими. Агенты DLP контролируют ПК под управлением Alt Linux, Astra Linux (включая защищенные версии), RedOS, CentOS, Ubuntu и так далее. Агенты FileAuditor – на Alt Linux, Astra Linux, CentOS, RedOS, Ubuntu. Подробный материал о том, как работает КИБ в импортозамещенных инфраструктурах – в нашем блоге.
Подписывайтесь на нас на RuTube, YouTube и ВКонтакте, чтобы не пропустить выход новых роликов об обновлениях продуктов «СёрчИнформ». Мы публикуем там и другие полезные видео: вебинары, доклады, выступления на пресс-конференциях и многое другое.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных
