11-15 октября в г. Сочи прошло ежегодное закрытое мероприятие SearchInFORUM. Первые лица компании подвели итоги уходящего года, представили новое решение – SearchInform Event Manager (SIEM) – и поделились планами развития продуктов, которые будут реализованы к концу 2016-го и в 2017 году.   SearchInFORUM стал площадкой для закрытого профессионального сообщества, участники которого смогли выступить с докладами, поделиться практикой, открыто обсудить проблемы и пути их решения. Мы же получили обратную связь, которая и помогает делать технологии прикладными: продукты развиваются не ради развития, а ради решения конкретных задач, в которых пользователи заинтересованы прямо сейчас. Представляем обзор самых важных обновлений продуктов СёрчИнформ за 2016 год:

ПОИСК ПО ВИДЕО

Расширенные возможности поиска по видео упростили процесс анализа информации. Теперь сотруднику службы ИБ достаточно выбрать активность, в рамках которой действия сотрудников могут нести потенциальную угрозу (запуск TeamViewer, работа в 1С и т.д.) – и начать просмотр записи с конкретного фрагмента. Теперь, для того чтобы найти и просмотреть конкретный фрагмент, не нужно отсматривать записи полностью.

ПОЛНАЯ ПОДДЕРЖКА WINDOWS 10

Обновленные версии продуктов СёрчИнформ позволяют обеспечить защиту компьютеров, работающих под управлением ОС Microsoft Windows 10. TimeInformer способен полностью работать в среде, а КИБ поддерживает работу агентов перехвата и клиентских частей в новейшей ОС. Это позволяет клиентам СёрчИнформ безопасно обновлять используемые на корпоративных компьютерах ОС до последних версий операционных систем от Microsoft. Уровень и качество защиты от утечек данных останется таким же высоким, как и раньше.

СОВМЕСТИМОСТЬ С ВИРТУАЛЬНЫМ ОКРУЖЕНИЕМ VDI

Раньше КИБ позволял полноценно работать с популярными средами виртуализации, однако в окружении VDI возникали проблемы. При интеграции агента перехвата в образ системы ему присваивался идентификатор, который, из-за особенностей схемы VDI, мог повторяться. Доработка изменила логику работы сервера Endpoint таким образом, что данные от каждого агента начали идентифицироваться однозначно.

ПОДДЕРЖКА IPV6

Поддержка стандарта связи позволяет корректно работать КИБ и TimeInformer в сетях нового типа. Параметр IPv6 является дополнительным атрибутом и может участвовать в поиске, что значительно расширяет возможности идентификации устройства.

ES HUB ДЛЯ МАЛЫХ И РЕГИОНАЛЬНЫХ ОФИСОВ

Позволяет эффективнее решать вопросы информационной безопасности в удаленных офисах компании, где используется небольшое количество рабочих станций и/или «узкий» канал связи с головным офисом. Принцип работы: данные с рабочих станций перехватываются агентами и передаются на ES Hub. Здесь происходит фильтрация, обработка, сжатие и шифрование данных. Затем перехваченная информация поступает на основной сервер EndpointSniffer. Преимущества:

• Оптимизация нагрузки на канал передачи данных.
• Централизованная обработка данных и запись в единую базу перехвата.
• Управление установленными на местах ES Hub через основной сервер SearchInform EndpointSniffer.
• Экономия на закупке ПО для филиалов (ОС, СУБД).

ЗАЩИТА ЛОКАЛЬНЫХ РЕСУРСОВ

Позволяет регулировать доступ к критичным данным: скрывает/закрывает папки топ-менеджмента, запрещает доступ к информации даже привилегированным пользователям (системным администраторам, техническим специалистам и т.д.). Разграничение доступа к ресурсам (папкам и дискам) производится только на уровне DLP и не может быть отменено ни на уровне системы, ни на уровне домена.

АВТОМАТИЧЕСКАЯ КАТЕГОРИЗАЦИЯ САЙТОВ

Раньше пользователи КИБ и TimeInformer были вынуждены вручную назначать категорию для каждого неизвестного сайта, что отнимало много времени. Теперь тематика ресурсов определяется автоматически. Программы раз в 10 минут забирают и обрабатывают все неизвестные ресурсы, распределяя их по тематикам: «сайты знакомств», «социальные сети», «онлайн-игры», «новостные сайты», «покупки», «сайты вакансий» и другие. Сейчас категоризировано более 1 млн сайтов.

РАСПОЗНАВАНИЕ РЕЧИ

Любые аудиоданные могут быть распознаны и переведены в текст. Это позволяет решить ряд задач, которые ранее могли быть выполнены только через прослушивание. Вся процедура распознавания локальна: данные не покидают сети, внешние сервисы типа Yandex SpeechKit и Google Speech не используются. Технология находится в экспериментальной стадии и активно тестируется клиентами.

АГЕНТ ДЛЯ ASTRA LINUX      

«КИБ СёрчИнформ» интегрирован с операционной системой специального назначения Astra Linux. DLP-система гармонично вписывается в эко-структуру Astra Linux и позволяет закрыть вопросы, связанные с внутренней информационной безопасностью. В частности, обеспечить степень защиты обрабатываемой информации до уровня государственной тайны «совершенно секретно».

ПОИСК ПО ПЕЧАТЯМ

Новая разработка СёрчИнформ позволяет отслеживать передачу отсканированных документов по эталонным образцам печати. Детектор печатей доступен всем клиентам СёрчИнформ без дополнительной платы. Компонент встроен в систему по умолчанию и не требует использования дополнительных технологий.

ПОИСК КАТЕГОРИЙ ИЗОБРАЖЕНИЙ

Качество и скорость распознавания изображений в КИБ вышли на новый уровень. С помощью технологий оптического распознавания текстов (OCR) от ABBYY система самостоятельно классифицирует файлы и выделяет среди них персональные данные, циркулирующие внутри компании. Технологии распознавания и алгоритмы классификации изображений уменьшают необходимость ручной обработки за счет автоматического определения типов персональных данных. Модуль классификации ABBYY помогает определить любые документы установленных образцов: паспорта, кредитные карты и т.д.

ОДНОВРЕМЕННАЯ РАБОТА АГЕНТОВ TIMEINFORMER И КИБ

Некоторые клиенты используют одновременно два продукта СёрчИнформ: например, контролируют почту посредством КИБ, а остальные задачи закрывают системой контроля рабочего времени TimeInformer. Раньше агенты двух решений конфликтовали при установке на одну рабочую станцию. Однако теперь у клиентов есть возможность одновременного запуска двух систем.

НОВОЕ ЛИЦЕНЗИРОВАНИЕ КИБ

Переход на новую схему лицензирования открыл возможность централизованного управления лицензией из одного места. Если раньше пользователь был вынужден разграничивать использование лицензий на каждом сервере отдельно, то сейчас достаточно внести изменения один раз и лицензия применится ко всем серверам. При этом повысилась гибкость лицензирования. Из единого ключа можно выделять требуемое количество лицензий для каждого конкретного сервера, либо выбрать динамическую схему для автоматического распределения лицензий.

ДЕТЕКТИРОВАНИЕ АГЕНТОВ ДРУГИХ DLP

Агент любой DLP внедряется в ключевые функции системы, поэтому размещение двух агентов на одной пользовательской станции неизбежно вызывает конфликт. Проблемы возникают как на стороне пользователя, так и на стороне техподдержки. Для предотвращения подобных ситуаций КИБ был оснащен возможностью детектирования других агентов. Возможность позволяет специалистам служб ИБ убедиться, что сторонние решения не остались на ПК случайно (к примеру, после тестирования) или не используются другими отделами организации намеренно. «КИБ СёрчИнформ» детектирует все популярные DLP-системы, актуальные на рынке.

БЛОКИРОВКА ТРАФФИКА ПО ICAP

Взаимодействие DLP и ICAP Proxy сделало возможной проверку всего проходящего трафика. При нарушении политик безопасности передача может быть заблокирована. Технология позволяет обезопасить сеть компании вне зависимости от того, какие типы устройств используются.

ТОЧНЫЙ ПОИСК ФАЙЛОВ ПО HASH

Технология сделала возможной однозначную идентификацию файлов, расширив аналитические возможности DLP и упростив работу с поиском.

АУДИТ ДЕЙСТВИЙ ПОЛЬЗОВАТЕЛЯ С КОНКРЕТНЫМ ФАЙЛОМ\УСТРОЙСТВОМ

Позволяет проследить всю цепочку действий с конкретным файлом или устройством и однозначно восстановить картину нарушения.

НОВЫЕ ОТЧЕТЫ ПО ПРОДУКТИВНОСТИ

• «Продуктивность пользователей» – отображает продуктивное/непродуктивное использование процессов/сайтов пользователями.
• «Детальная продуктивность пользователей» – показывает суммарное время активности пользователя по процессам/сайтам и уточняет активность в каждом из них; детализирует продуктивность по дням.

Как в «КИБ СёрчИнформ», так и в TimeInformer возможна настройка правил и списка продуктивности.