Обновление продуктов «СёрчИнформ»: контроль аддонов, сервиса АРМ ГС и FTP-сервера

Переход на PostgreSQL и Postgres Pro, новые метрики и блокировки, контроль корпоративных FTP-серверов – эти и другие обновления, а также принцип их работы, описываем в обзоре новинок «СёрчИнформ» за первое полугодие 2023 года.

«СёрчИнформ КИБ» и «СёрчИнформ FileAuditor» перешли на свободно распространяемую базу данных PostgreSQL и его отечественный аналог Postgres Pro. Теперь весь трафик с пользовательских ПК, инциденты, письма в карантине, политики безопасности и отчеты, данные конфигурации DLP-системы, а также информация о файловых операциях, правах доступа и результаты классификации документов DCAP-системы хранятся в этих базах данных.

PostgreSQL – это бесплатная СУБД, которая умеет создавать, хранить и извлекать сложные структуры данных. Российская версия СУБД – Postgres Pro – входит в реестр отечественного ПО и полностью адаптирована под нужды российских компаний. Переход на эти СУБД позволяет использовать защитные решения компаниям, которые работают только на отечественных системах.

Посмотреть работу сервера PostgreSQL можно в DataCenter на вкладке Мониторинг. Метрики отображают сеансы записей в базу данных, информацию о транзакциях, вставленных, обновленных и удаленных строках в таблице БД, а также об откатах транзакций, приводящих к отмене всех изменений. Можно настроить любой промежуток времени, за который будет видна статистика – за час, 24 часа, месяц, год и т.п. Также есть возможность задать интервал, через который будет происходить запись данных.

В DataCenter также добавились метрики NetworkController. Они позволяют наблюдать за основными показателями сервера: нагрузкой на процессор и память, скоростью обработки пакетов (рcap), ошибками обработки, данными по интеграции с почтовыми серверами и другое.

NetworkController – платформа, которая осуществляет сетевой перехват информации с ПК сотрудников. Эту информацию обрабатывают парсеры, главная задача которых – извлечь из массива данных «полезную нагрузку» (текст сообщения/ вложение/ метаданные) и записать ее в БД. Компоненты NetworkController входят в консоль EndpointController.

Когда информация записана в базу данных, к ее обработке приступает SearchServer – это движок «СёрчИнформ», который отвечает за индексацию перехваченной информации и обеспечивает поиск по ней. С помощью этого движка из информации, которая содержит текст, формируются индексы. При этом информация, которая изначально не содержит текст индексацию не проходит, и доступна для поиска в виде баз данных. Это касается скриншотов, аудиозаписей, операций с файлами (удаление, переименование и т.д.) и устройствами (подключение, отключение и др.), запущенных процессов и посещаемых сайтов.

В DataCenter теперь можно отследить метрики SearchServer отображают:

• статистику потребления ресурсов индексаторами
  
• скорость индексации
  
• счетчик ошибок
  
• поисковые запросы и другое.
  

В Мониторинге обновился дашборд Метрики ОС, который показывает состояние сервера, где установлена DLP-система. Новые виджеты отображают процент использования файла виртуальной памяти на текущий момент и процент загрузки выбранного диска. На шкалы также разбита информация по количеству активных потоков, открытых портов и дескрипторов по каждому процессу. Метрики позволяют отслеживать, какие ресурсы перегружены. Например, выявить подозрительный рост нагрузки на диск C, который может указывать на выход из строя одного из дисков в RAID.

В EndpointController обновились настройки правила блокировки Печати по контенту. В новом параметре для разрешающих правил можно регулировать количество допустимых страниц, отправляемых сотрудниками на печать. Достаточно поставить галочку напротив нужного поля и выбрать или ввести самостоятельно нужное число. Например, ограничить до 5 страниц.

А о запретах теперь можно уведомлять пользователей. При настройке правила блокировки ИБ-специалист может ввести любую фразу или предложение, которые захочет. После настройки запрета, пользователям, попытавшимся распечатать заблокированный файл, будет приходить сообщение об ограничении такой функции.

Уведомить пользователя теперь можно и о блокировке файла, который он пытается открыть – это функционал «СёрчИнформ FileAuditor». Нужное сообщение можно указать в настройках программы EndpointController, раздел – Интерфейс на агенте. Достаточно активировать отображение уведомлений для файлов по классификации FileAuditor и написать предупреждение. При включенном интерфейсе, пользователь будет получать предупреждения о том, что у него нет доступа к файлу.  

В «СёрчИнформ КИБ» также добавлены новые категории правил блокировок. Раздел Drag and Drop предназначен для настройки правил, контролирующих операции захвата и перетаскивания файла с помощью мыши.

USB без поддержки метаданных позволяет контролировать USB-устройства с файловыми системами, не поддерживающими альтернативные потоки данных. То есть, метаданные, связанные с объектом файловой системы NTFS. Данные устройства представляют угрозу информационной безопасности, т.к. не позволяют использовать метки автоматической и ручной классификации. Теперь их использование можно запретить.

Также появилась возможность блокировать расширения браузеров, например, VPN-расширения в Chrome. VPN шифрует трафик, из-за чего при включенном расширении DLP-системы могут пропускать отправку данных. Это повышает риск возникновения утечки. Блокировка расширений поможет предотвратить подобные инциденты.  

В разделе Сайты по контенту появились шаблоны правил блокировок сайтов социальных сетей: ВКонтакте, Одноклассники, Facebook*. Это позволяет ускорить настройку ограничений на использование десктоп-версий соц. сетей. Для быстрой настройки правила необходимо нажать направляющую стрелку справа от кнопки «Добавить» и выбрать сайт. Если нужно создать более целевое правило, можно внести дополнительные условия. Например, выбрать пользователя или группу пользователей, для которых будет действовать запрет.

*Facebook принадлежит компании Meta, признанной экстремистской организацией и запрещенной в РФ.

В КИБ реализована поддержка коммуникационного сервиса «Автоматизированное рабочее место государственного служащего». Государственные структуры обрабатывают значительные массивы чувствительной информации, которая подвержена риску утечек. 34% инцидентов в госструктурах – это утечки информации, в 52% случаев утекают персональные данные. Уязвимость такой информации сопряжена с человеческим фактором, и чтобы исключить вероятные риски, на помощь приходят ИБ-системы.

В Консоли Аналитика можно проконтролировать исходящие и входящие веб-сообщения и загружаемые файлы. Система ловит данные облачного хранилища, почты и мессенджера АРМ ГС. Дополнительная настройка для этого не требуется.

В IMController появилась возможность проверять данные, передаваемые в Discord. Система покажет: когда, от кого и кому было отправлено сообщение в мессенджере, сколько их было, включала ли переписка вложения и не содержат ли файлы конфиденциальных сведений.

В настройках Консоли Аналитика можно указать новые параметры для Task Management. Подраздел «Типы задач» позволяет добавить пользовательские фильтры. Это дает возможность разграничивать задачи не так, как предусмотрено в системе, а как удобно пользователю. Для нового фильтра можно задать такие параметры, как «Изображение», «Наименование», «Сокращение» и «Описание».

Вторая новинка для Task Management – редактор пользовательских меток. В нем можно создавать собственные метки для наглядной индикации задач в списке, выбрав цвет и название для нее.

Настройка правил для «СёрчИнформ FileAuditor» стала еще проще и быстрее. В системе появились предустановленные правила классификации офисных документов. Для удобства шаблоны разделены на тематические группы, например: интеллектуальная собственность, финансовая информация и платежные документы и другие. В группах больше 80 категорий, в том числе десятки видов персональных данных, корреспонденции, документов с грифами, договоров, актов, счетов, кадровых, финансовых, налоговых документов и пр. Чтобы начать работу, достаточно выбрать необходимое правило из списка. Правила можно настроить под себя, а можно просто включить, и отработка начнется автоматически.

Кроме того, в настройках появилась возможность создавать логические группы для более наглядного отображения перечня правил. Нужно нажать на кнопку «Добавить группу», в открывшемся окне ввести название и сохранить его. Прикрепить правило к группе можно при создании нового или изменении готового. Для этого нужно открыть редактор правила, выбрать в перечне группу, в которую оно будет входить, и сохранить.

Заключительная новинка – в «СёрчИнформ FileAuditor» расширились возможности контроля сетевых хранилищ. Теперь в системе доступен контроль корпоративных файловых серверов, работающих по FTP-протоколу. FTP-сервера широко распространены и используются в компаниях для передачи «тяжелых» данных и документов, в том числе для обмена информацией с внешними адресатами. Поэтому данные, хранящиеся на подобных серверах, также требуют категоризации, классификации и защиты. С точки зрения функциональности, сканирование по FTP-протоколу работает так же, как сканирование сетевых папок, то есть не зависит от ОС файл-сервера.

Проводить аудит полезно не только для защиты, но и для того, чтобы вычислять и предотвращать нецелевое использование ресурсов. Бывает так, что сотрудники перегружают хранилище личными фотографиями, аудио- и видеозаписями.

Кроме того, можно контролировать FTP по шифрованному каналу (FTPS) и канал Linux для подключения к серверам (SFTP).

Типы используемых протоколов:

• FTP – FileZilla, Serv-U, Windows Server 2016, Windows Server 2022, vsFTPd.
  
• FTPS – Serv-U, vsFTPd.
  
• SFTP – Serv-U, freeFTPd, software SFTP Server, vsFTPd.
  

Подписывайтесь на наш YouTube-канал , чтобы не пропустить выход новых роликов об обновлениях продуктов «СёрчИнформ». Также мы публикуем там и другие полезные видео: вебинары, доклады, выступления на пресс-конференциях и многое другое.