Подготовили традиционный дайджест обновлений «СёрчИнформ». Суммируем главные новинки в наших продуктах за второе полугодие 2024 года, и показываем, как воспользоваться ими эффективно.
Продукты «СёрчИнформ» продолжают развивать функционал перехвата информации, в том числе из сервисов, которые невозможно контролировать с помощью агента. Так, в КИБ и FileAuditor появилась интеграция с облачными сервисами Microsoft 365. Теперь в системах доступны:
Интеграция реализована через протокол MS Graph API. «СёрчИнформ FileAuditor» сканирует и классифицирует файлы в пространствах OneDrive: документы Office 365, заметки OneNote и любые другие загруженные в облако OneDrive файлы. «СёрчИнформ КИБ» контролирует загрузку данных в эти сервисы и работу сотрудников с ними, а также защищает почту в Microsoft 365 и мессенджер Teams.
Microsoft 365 – это облачное суперприложение, которое предоставляет рабочее пространство для бизнеса «под ключ». Туда можно зайти через браузер и получить почту, мессенджер, хранилище, офисные программы и т.д. в одном окне. С ростом популярности таких сервисов, «СёрчИнформ» последовательно их поддерживает. Продукты уже контролируют VK Workspace/ГКС, «Яндекс 360» и другие бизнес-платформы, список интеграций и доступный для них функционал защиты постоянно расширяется. Всего за 2024 г. «СёрчИнформ» реализовала 100+ интеграций с бизнес-сервисами по запросам клиентов.
Кроме перехвата информации развиваются возможности по ее распознаванию. Для этого в КИБ появились новые сервисы распознавания речи и изображений.
В системе «из коробки» доступны варианты ASR-движков, к которым КИБ обращается для «расшифровки» записей голоса. Теперь к ним добавился свободно распространяемый сервис Vosk. Благодаря ему программа автоматически преобразует в текст аудиосообщения и записи звонков из мессенджеров, а также любые другие аудиофайлы, чтобы затем искать по их содержимому и выявлять инциденты. Vosk работает на AAServer, чтобы распознавание было быстрее и не задействовало основные ресурсы серверов КИБ. Он поддерживает больше 30 языков, в зависимости от выбранной языковой модели можно сделать распознавание быстрее или качественнее. Дополнительное преимущество Vosk в том, что он может работать как на Windows, так и на Linux.
Также для работы в Linux-инфраструктурах подойдет новый OCR – Tesseract. Он доступен «из коробки» и не требует дополнительного подключения. Достаточно выбрать его из списка доступных OCR-сервисов в настройках индексов на SearchServer и указать нужные языки распознавания.
Возможности перехвата также усиливает обнаружение скрытых слоев в PDF-файлах. Функция работает по умолчанию. КИБ покажет все документы PDF, где присутствуют скрытые слои, благодаря специальным фильтрам в Консоли Аналитика и при создании политик Alert Center. Для скрытых слоев также работает OCR.
В DLP расширился функционал блокировок. Например, в мессенджерах и ВКС теперь можно запретить пользователям совершать звонки. Функция настраивается в EndpointController при создании или конфигурировании правила блокировки для мессенджеров. Достаточно установить «галочку» напротив нужного мессенджера в столбце «Звонки». В декабре 2024 года функция доступна для Skype и Viber, но уже в следующих релизах список будет расширен.
Если правил блокировки настроено много, не запутаться в них поможет фильтрация. Введите в поле «Поиск» в правом верхнем углу название правила блокировки, имя пользователя или ПК – и система выдаст искомые правила для дальнейшей работы.
Еще для «Мессенджеров» и «Сайтов по контенту», а также для «Печати по контенту» появилась возможность блокировать файлы по классификации FileAuditor. При настройке правила можно указать метку ручной или автоматической классификации: если она будет на документе, который хотят отправить, загрузить в веб или распечатать, то операция не будет выполнена.
С метками FileAuditor научился работать и Карантин. Теперь по ручным и по автоматическим меткам можно настраивать критерии для проверки писем. Благодаря этому система автоматически остановит письма, которые содержат категории данных, не предназначенные для пересылки за пределы компании.
Кстати, работоспособность созданного критерия в Карантине тоже можно проверить. По кнопке «Проверить критерий» можно загрузить тестовое письмо с «триггерными» параметрами и сразу увидеть, сработает ли политика.
КИБ поддержал поиск по меткам FileAuditor во всех каналах. Это значит, что, если где бы то ни было передаются документы, ранее проклассифицированные DCAP-системой, DLP сразу «узнает», что за данные у них внутри. В Консоли аналитика можно отфильтровать перехват, чтобы найти передачу файлов с нужными метками, благодаря соответствующим атрибутам в панели настройки условий поиска. Таким образом КИБ и FileAuditor усиливают друг друга.
Как это работает: смотрите видео
В DCAP-системе «СёрчИнформ FileAuditor» появилась возможность легко найти все дубликаты определенного файла, где бы они ни находились. Сделать это можно несколькими способами. Во-первых, при просмотре информации о конкретном файле: в окне предпросмотра появилась вкладка «Дубликаты», где можно найти все копии файла, существующие или существовавшие в заданный период. Это полезно, чтобы найти случаи, когда исходный документ сначала скопировали, а потом внесли в него какие-то изменения, так что копии перестали совпадать. Во-вторых, список дубликатов можно получить по правому клику на файл в дереве: тогда дерево отобразит только те директории, где эти дубли лежат. В-третьих, если на руках есть образец файла, который нужно проверить на наличие неучтенных копий, дубликаты можно искать с помощью инструментов поиска. В общих настройках поиска нужно выбрать «хэш файлов», ввести хэш или загрузить файл.
Как этим пользоваться: смотрите видео
Еще FileAuditor поддержал углубленный аудит пользовательских прав доступа к файлам и директориям в корпоративных хранилищах. Это достигается за счет расширения интеграции с Active Directory. Система предоставляет полный перечень событий за выбранную дату и подробные сведения по каждому: какие учетные записи изменились, какие получили роли, есть ли у ролей ограничения, что было до изменений и кто их внес. Отслеживать изменения поможет поиск по событиям AD в основной консоли. Также по этим событиям можно настроить политики безопасности в AlertCenter, тогда система уведомит о нежелательных изменениях автоматически, в т.ч. по email. Функционал помогает организовать распределение прав сотрудников в соответствии с эталонной матрицей доступов и легко контролировать ее соблюдение.
Но главное событие года для FileAuditor – релиз блокировок FileAuditor в хранилищах под управлением Linux. Файлы на ПК сотрудников или файл-сервера на Linux, где установлен агент DCAP, можно защитить от доступа в произвольных приложениях. Настраиваются блокировки в EndpointController так же, как для Windows. Единственное отличие в том, что маски процессов необходимо прописывать вручную. Блокировки FileAuditor работают в файловых системах Ext3 и Ext4, стандартных для всех Linux, их можно использовать для документов, получивших метки автоматической классификации.
ЗАКАДР: DLP-система «СёрчИнформ КИБ» теперь умеет создавать снимки и видеозаписи содержимого экранов на Linux-ПК при вводе ключевых слов, по процессу. Настройки задаются в EndpointContoller в модуле «Monitor». На вкладке «Настройки для Linux» задайте ключевые слова, при которых система должна включить запись или снять скриншот.
Также можно задать параметры снимков и видео. Например, сохранять видеозаписи в MonitorController в формат WEBM. WebM – это открытый формат медиаконтейнера, он не требует лицензии и основан на открытых видео- и аудиокодеках. И как раз подходит для использования на Linux.
Контроль Linux-инфраструктур с продуктами «СёрчИнформ» в целом стал проще благодаря синхронизации DataCenter с популярными доменами: FreeIPA, ALD Pro и Samba. Синхронизация позволяет автоматически получать информацию о пользователях и группах, их правах и иерархии, чтобы КИБ оперативно узнавал об изменениях в организационной структуре компании. Также данные из домена упрощают формирование Карточек пользователей. Чтобы вычитать домен, нужно зайти в DataCenter на вкладку «Active Directory» и задать нужные параметры.
DataCenter – главный центр управления КИБ – переехал в веб. Теперь в WebAnalytic появился одноименный раздел со всем основным функционалом консоли. Через него можно задать базовые настройки КИБ и его компонентов, управлять индексами и базами данных, распределять лицензии, настраивать вышеупомянутую синхронизацию с доменом и т.д.
Еще в DataCenter появилась возможность настраивать автоматический апдейт всех компонентов. На вкладке «Дополнительные настройки» выберите раздел «Обновление компонентов»: в списке напротив нужных продуктов достаточно поставить «галочку», чтобы системы самостоятельно получали и устанавливали новейшие версии от вендора.
Здесь же в разделе «Архивация и перенос» можно автоматически создать бэкап всех баз и индексов с перехватом, а также системных настроек КИБ. Это необходимо для восстановления, например, при «переезде» системы, или если возникли сбои в аппаратной части, на СХД, при обновлении ОС или в СУБД, на базе которых работает КИБ. Также можно настроить автоматический перенос и баз перехвата на более медленные диски, чтобы в «горячих» хранилищах оставались только актуальные данные. Условия для запуска архивирования и переноса можно установить гибко. Например, если информация в БД старше года, или на диске осталось меньше 50 Гб свободного места. В «Журнале активности» на вкладке можно просматривать, как происходили операции архивирования и переноса и не было ли в них ошибок.
К слову о базах перехвата: теперь можно добавлять в КИБ на индексацию произвольные базы данных. Функция позволяет взять под контроль источники, где происходит работа с важными данными, но фактически их пересылки не происходит – то есть «по классике» они не попали бы в поле зрения DLP. Например, это может быть база системы учета – или любая другая. Чтобы ее подключить, в консоли SearchServer нужно создать индекс, воспользовавшись опцией «База данных SQL» в разделе «Другое». Необходимо подключиться к серверу с СУБД, а затем выбрать нужную БД для индексирования. Затем в специальном мастере задается имя таблицы и первичный ключ (это поле с уникальными возрастающими значениями, по которым система сможет «ориентироваться» в таблице, как по координатам). Главное – задать Поле данных документа – тот столбец таблицы, с данными из которого и требуется работать в перехвате КИБ. После нужно запустить индексацию и как только она будет закончена, с данными из подключенной базы можно будет работать в Консоли аналитика.
Также в КИБ расширились возможности открытого контроля – функционал, который помогает наладить коммуникацию между пользователями и службой ИБ и привить сотрудниками навыки безопасной работы с данными. Например, теперь в DataCenter можно развернуть веб-сервис Archive Creator для создания защищенных архивов. Сотрудникам Archive Creator будет доступен через браузер. Как только пользователь загрузит туда файл, служба автоматически создаст архив, а DataCenter КИБ сгенерирует и пришлет надежный пароль для него.
Пароли DataCenter генерирует по заданным правилам, а также хранит в своей базе. Это позволяет КИБ автоматически подставлять пароли к архивам, когда пользователи пытаются их отправить, и проверять, не содержится ли в архивах запрещенной к пересылке информации. Впрочем, пересылку таких архивов можно запретить – такая блокировка есть для мессенджеров, сайтов, устройств, FTP, а также в почтовом Карантине.
Расширились возможности применения водяных знаков. Напомним, они выводятся на экран сотрудника и отображаются на скриншотах и фото монитора, чтобы дополнительно защитить от утечки – или, по крайней мере, затем вычислить по утекшему фото виновника. Теперь можно включить водяные знаки только при активности на ПК сотрудника заданного процесса или вводе определенного текста. Тогда они не будут привлекать его внимание постоянно. Кроме того, можно отображать их под наклоном – это уберегает от попыток «замазать» знаки на скриншотах и фото или подделать их. По крайней мере, под наклоном сделать это злоумышленникам будет сложнее.
Графический интерфейс КИБ на ПК сотрудников теперь можно скрыть. При этом даже в скрытом режиме сохранится возможность выводить уведомления в панели задач. При этом уведомлять через интерфейс пользователя можно о целом ряде новых событий. Среди них: уведомления о запрете записи на USB по объему или содержанию, о запрете печати документов с конфиденциальным содержимым, при срабатывании правил блокировок Drag and Drop. По-прежнему действуют уведомления о блокировках доступа к файлам и устройствам.
Наконец, в КИБ обновились отчеты. Хорошо знакомый граф связей пользователей получил специальный фильтр: теперь в отчет можно выводить только новые контакты сотрудников (позже определенной даты), а также подсвечивать новые связи среди остальных контактов.
Удобнее стало создавать и отчеты по инцидентам. Не прерывая работу с перехватом, можно кликнуть по инциденту в Консоли Аналитика правой кнопкой и создать по нему задачу «Отчет для руководителя» в Task Management. Затем к задаче в один клик можно добавить неограниченное количество инцидентов, задать описание, тип и уровень критичности для каждого случая. Система автоматически выгрузит все необходимые подробности по нарушению, включая данные фигурантов, соберет статистику по подборке и визуализирует ее в наглядных дашбордах. Также в отчет можно добавить дополнительные сведения: показатели эффективности пользователей, имеющих отношение к инцидентам, журнал их рабочего времени и другое. Из задачи в TaskManagement доступен удобный экспорт. КИБ формирует архив, в котором сохраняется PDF-файл с перечнем инцидентов, их статистикой, данными о фигурантах, а также ссылками на папку с «фактурой», которая также лежит внутри архива.
Подписывайтесь на нас на RuTube, YouTube и ВКонтакте, чтобы не пропустить выход новых роликов об обновлениях продуктов «СёрчИнформ». Также мы публикуем там и другие полезные видео: вебинары, доклады, выступления на пресс-конференциях и многое другое.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных
