Новое в «СёрчИнформ КИБ»: инструменты быстрого реагирования и удобный анализ данных

Новое в «СёрчИнформ КИБ»: инструменты быстрого реагирования и удобный анализ данных
За второе полугодие 2020 года КИБ нарастил возможности блокировки, упростил работу с аналитикой и стал еще функциональнее для пользователей Linux.  

Больше данных для анализа

КИБ расширил контроль популярных бизнес-мессенджеров – в обновленный список попали Mattermost и Rocket.Chat, а также чат Zoom, который за время самоизоляции и удаленки стал самой популярной площадкой для бизнес-митингов. В перехват попадают не только конференции и чаты, но и пересылаемые файлы.

Также в системе стали доступны данные для автозаполнения форм, которые пользователи сохраняют в браузерах.

Еще больше источников данных можно подключать произвольно через открытый API. API-интерфейс отлично подходит для загрузки произвольных текстов, файлов и архивов перехвата на анализ. Можно, к примеру, подгрузить в КИБ почтовые сообщения, накопившиеся за период до внедрения DLP. Или контролировать общение сотрудников за пределами защищенного периметра. Например, если ваша команда использует Slack на личных устройствах по рабочей подписке, вы можете настроить интеграцию архива чатов с корпоративных аккаунтов по API. Благодаря этому никакие ценные данные не «выпадут» из поля зрения службы ИБ.

При этом перехват не будет занимать больше места. Функция автоматического архивирования позволяет переносить на более «медленные» диски те данные, которые уже не требуются для оперативного расследования инцидентов. При этом информацию можно вернуть для оперативного анализа буквально в несколько кликов. Таким образом ИБ-специалист может оптимизировать хранение данных, не теряя оперативности при реагировании на инциденты.

Проще расследования

В Консоли аналитика появилась новая вкладка – Карточка пользователя. Знакомый инструмент не только «переехал», но и расширился новыми категориями данных. В карточку «сведены» все данные о сотруднике, в том числе о каналах связи, которыми он пользуется на рабочем месте. Также можно указать дополнительные сведения по желанию ИБ-специалиста – от должности и номера кабинета до хобби и семейного положения. С такими «сводками» ИБ-специалисту удобнее уточнять информацию о коллективе и сверяться, какие еще каналы проверить, если в отношении сотрудника есть подозрение на нарушение.

Карточки можно объединять в группы, например, по отделам, увлечениям или уровням доступа к конфиденциальной информации. На «особый контроль» ставятся потенциальные нарушители, находящиеся в «разработке», в отдельную категорию попадают и доверенные лица руководства. Автоматически создаются карточки и на внешних пользователей, с которыми сотрудники компании связаны регулярными контактами.

В отчете о связях пользователей тоже оптимизировали работу с контактами за пределами компании. Прежде отчет сразу выводил информацию обо всех внешних адресах, с которыми связан кто-то коллективе, при их обилии могло быть сложно разобраться, на какие связи стоит обратить внимание. Теперь из общей массы можно отфильтровать некорпоративные адреса сотрудников и просматривать их отдельно, если они интересуют службу ИБ в рамках расследования.


Был усовершенствован функционал расследования инцидентов по переписке в мессенджерах. Благодаря новому фильтру «Участники переписки» в Консоли аналитика можно быстро сузить круг подозреваемых. Функция уже доступна для Skype, Viber, WhatsApp, Telegram и Lync.

Быстрее реагирование

ИБ-специалисты могут оперативнее пресекать инциденты благодаря новым инструментам блокировки нежелательных событий.
Например, при записи информации на внешние носители (флешки, мобильные телефоны и т.п.) можно блокировать перенос файлов, содержимое которых противоречит политикам безопасности. Блокировка сработает, даже если пользователь попытается обмануть систему безопасности и скроет файл в архив с паролем.

Появилось больше возможностей для предварительной «сортировки» подозрительных писем. Почтовый карантин теперь работает на сервере без установки агента. Благодаря этому под контроль попадает вся почта, в том числе если сотрудники отправляют ее через веб-браузеры или с ПК, на которых не установлен агент КИБ. А еще почтовый трафик обрабатывается быстрее и на почтовом сервере не возникает очередей из писем.

Проверить корректность работы вновь настраиваемых правил карантина можно в режиме отладки. Он покажет, попадают ли нужные письма в поле зрения системы, при этом фактически не затормозит их отправку. Как только ИБ-служба убедится, что настроила новые политики верно, функционал карантина можно включить «на полную».  

Теперь можно просматривать не только проиндексированный текст, но и оригиналы писем, которые попадают на карантин. Это позволяет видеть полную картину – дополнительные атрибуты, графику, спецсимволы в сообщениях, которые остановил КИБ, ведь в них может оказаться важная для расследования информация.  

А чтобы извлекать текст из таких изображений, ИБ-специалист может выбрать предпочтительную OCR-технологию. Встроенную OCR при желании можно оперативно заменить на аналог от ABBYY (потребуется дополнительная лицензия).

Больше функций для Linux

Linux-агенты КИБ научились считывать нажатия клавиш пользователей, получив функционал модуля Keylogger. Также ИБ-службе стали доступны возможности MicrophoneController, теперь можно контролировать важные переговоры сотрудников, работающих за ПК на Linux.

Добавился и перехват картинки с экранов пользователей (MonitorController). Съемку скриншотов или видео с мониторов ПК можно вести по расписанию или при определенном событии, например, запуске подозрительной программы. Или просматривать происходящее на экранах в режиме онлайн.
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.