Контроль сотрудников, работающих на Apple, удобное представление инцидентов в SOC R-Vision, детектирование попыток сфотографировать экран ПК и ручные метки классификации данных – представляем дайджест обновлений «СёрчИнформ» за последние месяцы.
В «СёрчИнформ КИБ» появилась новая полнофункциональная веб-консоль, которая дает возможность использовать все возможности DLP с любого устройства, где есть браузер. В онлайн-режиме доступны все возможности AlertCenter и Analytic Console, в том числе создание политик, просмотр инцидентов и отчетов, ведение расследований.
Просмотр инцидентов, создание и редактирование политик доступен на вкладке AlertCenter в WebAnalytic Console. По умолчанию в консоли доступны предустановленные политики, автоматически импортируются и ранее созданные в десктопной версии. Онлайн их теперь можно донастроить, а также создать новые. Для этого во вкладке «Политики безопасности» достаточно нажать стрелочку внизу и выбрать нужную политику. Затем на «Панели результатов» выбрать вкладку «Инциденты».
Изменять количество отображающихся столбцов с результатами можно в меню «Настройки».
Создать, переименовать или удалить политику можно из контекстного меню.
Теперь можно провести расследование онлайн с любого устройства. Для просмотра необходимо открыть WebAnalytic Console. Во вкладке Поиск можно выбрать любого пользователя и период, за который нужно найти перехват.
В веб-версии доступны все виды поиска по всем контроллерам. Например, так можно просматривать скриншоты монитора.
В новом интерфейсе отчеты стали нагляднее и визуально проще. Все нужные хайлайты сразу собраны вверху отчетов в виде крупных выносок, это удобно для беглого просмотра. Отчеты доступны в одноименной вкладке, там же настраиваются нужные параметры. Например, в «Табеле рабочего времени» нужно выбрать временной через вкладку «Фильтр», там же можно выбрать пользователей и дополнительные критерии.
Весной 2022 года «СёрчИнформ» выпустил агент DLP-системы «СёрчИнформ КИБ» для контроля рабочих станций под управлением macOS. Это решает задачу защиты информации на устройствах Apple, которые ранее оказывались вне периметра контроля ввиду конструктивных особенностей ОС.
Для устройств на macOS доступны все преимущества КИБ в части поиска, расследования инцидентов и аналитики пользовательского поведения. Например, работает распознавание лиц и смартфонов, данные сотрудников собираются в Карточки пользователей, а инцидентами можно управлять с помощью Task Management. В перспективе возможности контроля macOS в КИБ сравняются с функционалом для Windows и Linux.
Задать параметры перехвата для ПК на Linux и MacOS можно в настройках отдельных модулей в консоли EndpointController.
Система умеет делать снимки экранов пользователей по расписанию или событию – переключению окна. Задать параметры перехвата для машин на Linux и MacOS можно в настройках отдельных модулей в EndpointController: например, для MonitorController необходимо перейти на вкладку настройки для Linux/MacOS и включить контроль, настроив нужные параметры.
Больше трети утечек происходят через смартфоны. До сих пор этот канал оставался «слепым пятном» у большинства DLP-систем. Теперь же система поможет справиться с этой проблемой в автоматическом режиме.
Чтобы уточнить контроль утечек через фото, настройте обязательную съемку через веб-камеру при запуске определенных процессов или сайтов. Тогда КИБ не пропустит, что пользователь навел на экран свой телефон и пытается сфотографировать конфиденциальные данные.
Включить функцию можно в EndpointController, в настройках модуля CameraController. В меню нужно выбрать пункт «Настроить съемку по событию», там можно указывать параметры событий, за которыми необходимо установить контроль. Например, можно настроить снимки при открытии определенных форматов документов.
Чтобы посмотреть результаты съемки по событию, например, при открытии документов MS Office, необходимо перейти в Analytic Console и отсортировать результаты перехвата CameraController через фильтр «Детектирование телефонов», указав в перечне атрибутов любое значение больше нуля.
Самые высокие показатели означают, что «СёрчИнформ КИБ» распознал на снимке телефон. А посмотреть, с каким документом работал сотрудник в момент фотографирования экрана, можно в перехвате по модулю MonitorController.
Контроль ИБ-инцидентов, выявленных DLP-системой «СёрчИнформ КИБ», доступен в R-Vision. Благодаря этому специалист отдела информационной безопасности может работать с инцидентами сразу в консоли SOC-системы и сократить время реагирования на нарушение. Например, если работник по почте отправляет конкурентам конфиденциальные данные, уведомление об инциденте не только придет в «СёрчИнформ КИБ», но и продублируется в платформе R-Vision. В SOC-системе инцидент будет отображаться с теми атрибутами, которые были настроены для передачи в КИБ: тип, дата создания, уровень опасности, статус, виновник и прочая подробная информация о зафиксированном событии.
Настроить интеграцию с IRP R-Vision можно в DataCenter во вкладке «R-Vision и ГосСОПКА», прописав данные авторизации. Из консоли R-Vision следует скопировать токен для авторизации. 
Прямо из AlertCenter можно настроить автоматическую передачу инцидентов. Для этого в настройке политик нужно выбирать вкладку «Взаимодействие с R-Vision».
Далее нужно добавить правило: выделить поля критериев, которые будут описывать инцидент при передаче, а также назначить политику безопасности, сработки по которой нужно отправлять. Например – «Работа с бухгалтерскими документами».
Чтобы передать инцидент из AlertCenter в SOC, необходимо перейти на вкладку «Инциденты», нажать на инцидент правой кнопкой, выбрать «экспорт в R-Vision» и добавить комментарий.
На вкладке «Инциденты» в R-Vision отображаются сведения об инциденте – в том количестве, в котором настроили их отправку.
Новые отчеты позволяют ИБ-службе быть всегда в курсе, за каким ПК, на каком сервисе, под какой учетной записью авторизовался сотрудник. Система также анализирует сложность паролей, которые используют работники для входа в учетную запись на различных сервисах.
Отчет «Авторизации на сервисах» отображает учетные данные пользователей, вводимые на тех или иных ресурсах. Если пароль, например, слишком легкий или совпадает с паролем от корпоративной учетной записи, то система оповестит об этом ИБ-специалиста. Отчет доступен не только по пользователям, но и в целом по коллективу. 
Специалист может посмотреть, на каких сайтах сотрудники чаще всего вводят логины и пароли. Отчет показывает информацию об активности всех выбранных пользователей в течение указанного промежутка времени. При этом учитывается только общая активность пользователя за компьютером, без разграничения на время, проведенное в каждом процессе/сайте.
Отчет «Процессы/сайты с авторизацией» отображает количество авторизаций пользователей на ресурсах и показывает учетные записи, которыми сотрудники пользовались на работе за заданный период.
Ручные метки в FileAuditor – это видимый пользователю «ярлык» на документе, который отображает уровень его конфиденциальности. Задать параметры можно в EndpointController в разделе FileAuditor. Настраивается маркировка в разделе «Ручная классификация», для этого необходимо задать имя метки и добавить описание документов.
Также можно добавить сотрудников, которым будет доступна установка или снятие меток. Например, мы хотим обязать сотрудников бухгалтерии размечать свои рабочие документы. В подразделе «права на операции с метками» добавляем нужных сотрудников и выбираем метки, которые станут им доступны.
Также ИБ-специалист может указать, какие операции с меткой будут доступны сотруднику: установка, повышение или понижение уровня метки или ее удаление.
Чтобы сотрудник не забывал ставить соответствующую метку, можно подстраховаться и подключить автоматический контроль. Для этого в подразделе «Автоматическое управление метками» задается правило реагирования: уведомить о необходимости поставить метку, проверить правильность ее установки или запретить операции без метки. Например, для MS Office есть возможность запретить сотрудникам сохранять документы без метки ручной классификации, для писем Outlook – запрещать отправку без метки. Также можно запретить отправку документов с определенной меткой: если в письме будет вложен размеченный таким образом документ, система уведомит пользователя, что отправка невозможна. А если метка стоит неправильно – например, «Общедоступно» на документе с персональными данными – есть возможность автоматически это исправить. В правиле настраиваются критерии документа – по атрибутам, содержимому или метке автоматической классификации, а также действие, которое системе необходимо предпринять: например, автоматически проставить нужную метку, если ее вообще не стоит, или заменить, если стоит другая.
Остались вопросы, как наши продукты справляютcя с задачами? Новый формат представления обновлений уже доступен на нашем YouTube-канале.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных
