Новое в «СёрчИнформ КИБ»: менеджмент расследований и блокировки «на лету»

Новое в «СёрчИнформ КИБ»: менеджмент расследований и блокировки «на лету»
Обновления затронули все основные направления работы КИБ: текущий контроль, проведение расследований и реакцию на инциденты.

Блокировки на агенте


В Endpoint Controller появилась вкладка «Блокировки», которая объединяет конструкторы правил блокировки для сайтов, печати, мессенджеров и файлов. Их принципиальная особенность в том, что все они работают на агенте – значит, не зависят от подключения к сети или серверу КИБ. Это обеспечивает непрерывный контроль и высокую скорость реакции на инцидент – данные быстрее проходят проверки, а трафик не нагружает сетевую инфраструктуру, ведь системе больше нет нужды «перегонять» данные между ПК сотрудника и сервером КИБ, чтобы принять решение о разрешении или запрете.


Интерфейс инструмента «Блокировки» в EndpointController
Разграничения для сайтов и документов, отправляемых на печать, работают по контенту, то есть система автоматически остановит загрузку на веб-страницу или распечатку информации, если она содержит чувствительные данные. На вкладке «мессенджеры» можно настроить список приложений, которыми можно или нельзя пользоваться в принципе, а также ограничить отдельные действия – например, отправку вложений. Также появилась возможность блокировать сообщения с нежелательным содержимым – если сотрудник решит отправить в Slack выдержки из конфиденциальных документов, его сообщения просто не уйдут адресату.

Блокировки для файлов доступны при интеграции КИБ с FileAuditor: это DCAP-решение присваивает всем документам метки в зависимости от их типа и содержимого, КИБ, в свою очередь, настраивает по меткам «инструкцию по эксплуатации» ко всем файлам выбранной категории. В результате ИБ-специалист может ограничить пользователям доступ к файлам через любую программу, будь то текстовый редактор или почтовый клиент – нежелательные пользователи не смогут прикрепить документ вложением для отправки или даже открыть его, чтобы прочитать.


Настройка блокировки буфера обмена
Еще одна новинка – появились тонкие настройки блокировки для буфера обмена. Ограничения можно задать по пользователям, ПК и процессам. Они настраиваются в модуле DeviceController и работают по содержимому – ИБ-специалисты могут задать текст, последовательность символов или регулярные выражения, на которые будут распространяться ограничения. Поддерживаются и сложные запросы. В результате, например, можно запретить копирование текста, который содержит номера банковских карт, в нежелательные мессенджеры, браузеры и пр.

Умный карантин


Карантин теперь тоже работает быстрее. Проверкой почтового трафика теперь занят не головной сервер КИБ, а выделенный движок в Endpoint Controller – он обеспечивает быстрое сканирование и анализ содержимого писем, включая аналитику по тексту, атрибутам и вложениям, в том числе с использованием OCR. Как и в случае с блокировками на агенте, это увеличивает скорость обнаружения и реакции на подозрительные инциденты.


Интерфейс обновленного«Карантина» в Консоли аналитика
Для обычных пользователей предусмотрели возможность решить, готовы ли они принять риски и отправить или не отправлять письмо с конфиденциальным содержимым. Написав такое письмо, сотрудник увидит предупреждение – в виде автоматического почтового уведомления – о том, что передача содержащихся в письме данных может повлечь нарушение политик ИБ. Если пользователь уверен, что все в рамках правил, то сможет подтвердить отправку переходом по ссылке в уведомлении или ответным письмом. Это позволит разгрузить отдел ИБ, который вручную разбирает подозрительную почту, и снизить число ситуаций, когда заблокированным оказалось важное письмо и задержка отправки может навредить бизнес-процессам.

Инструменты расследования

Чтобы упростить ИБ-отделам работу по расследованиям инцидентов, в КИБ появился инструмент Task Management. Его можно сравнить с системой Jira, с той разницей, что в Task Management все сделано с учетом специфических потребностей ИБ-специалистов. Разбор каждого инцидента превращается в полноценный проект, для которого можно задать сроки, исполнителей, наблюдателей, статус срочности и добавить всю нужную информацию по перехвату. Дополнительно Task Manager поддерживает подгрузку внешних файлов, которые могут помочь в расследовании. В один проект можно объединять несколько инцидентов, собирать архив «наработок» на фигурантов и дополнять «фактуру» в реальном времени. Для поиска нужных проектов, например тех, где фигурируют одни и те же сотрудники, работают фильтры.



Интерфейс Task Management: список задач и доступные фильтры
В результате каждый сотрудник ИБ-отдела будет в курсе свежих задач по текущим и новым расследованиям – для этого предусмотрена система уведомлений. Уровень доступа к разделу Task Management для конкретных сотрудников настраивается руководителями. Это может быть «Полный доступ», «Только чтение» или «Запрещено». В последнем случае Task Management не отображается в пользовательском интерфейсе Консоли аналитика.

Также в рамках КИБ получила развитие концепция People-Centric Security – подход, при котором расследование инцидентов начинается не с данных, которые подверглись угрозе утечки, а с человека, который мог пойти на нарушение. Проводить такую работу стало удобнее благодаря новым инструментам в Карточках пользователей. В них появилась возможность дополнить сведения о каждом сотруднике их психологическими портретами – если в компании установлен ProfileCenter, данные «подтянутся» автоматически. Краткий отчет из ProfileCenter отображается на вкладке «Профайл» в карточках: сильные и слабые стороны характера, личные качества, базовые ценности и криминальные тенденции. Здесь же приводятся рекомендации, как взаимодействовать с сотрудником эффективней и минимизировать риски нарушений безопасности.


Вкладка «Профайл» в Карточке пользователя


Удобная интеграция


КИБ расширяет периметр контроля – теперь к системе удобней подключать внешние источники данных и «экспортировать» защитный функционал в другие ИТ-системы.

Так, в Консоли аналитика появился конструктор политик безопасности и критериев работы для модуля External API. Он позволяет быстро настраивать контроль за внешними источниками – например, данными систем, которые не подключены к агентскому или сетевому перехвату, но нужны для понимания, не передают ли пользователи конфиденциальную информацию вне периметра контроля. В конструкторе политик в два клика можно задать правила, по которым КИБ будет искать инциденты безопасности в сторонних источниках через External API. В политиках доступны все виды поиска, в том числе объединенные в сложные запросы. Результаты проверки отображаются в той системе, которая взаимодействует с КИБ по External API.


Конструктор критериев проверки по External API
Под рукой теперь и функция «Запуск внешнего скрипта»: она доступна в Alert Center при настройке политик безопасности. По внешним скриптам КИБ передает информацию об инцидентах в сторонние приложения. Это позволяет комплексно реагировать на негативные события. В конструкторе политики безопасности в Alert Center можно настроить для выгрузки список атрибутов, которые будут особенно полезны в сторонней системе. Например, при сработке политики об аномально высоком числе отправленных писем можно настроить передачу этих данных в систему UEBA – она скорректирует данные о типичном и нетипичном поведении пользователей.

Внешние скрипты также могут обеспечивать реакцию на письма в Карантине, которые подпали под политику с предусмотренным запуском внешней программы.


Добавление внешнего скрипта при настройке политик безопасности в AlertCenter


Больше функций для Linux

Функционал агентов для ОС Linux дополнен возможностями модуля ProgramController. Он предназначен для учета времени работы сотрудников в приложениях. Теперь ИБ-специалисты в компаниях с Linux-инфраструктурой смогут в полном объеме получать данные об активности, продуктивности и эффективности персонала. Модуль мониторит активные процессы и заголовки окон на ПК сотрудников и определяет, кто занят работой в «полезном» ПО, а кто бездельничает или использует подозрительные программы. При необходимости можно настроить списки контроля. В них, например, можно указать, кого из сотрудников контролировать не нужно.

Настройка мониторинга активности в ProgramController для Linux
Кроме того, для пользователей Linux-систем теперь доступен функционал PrintController. Благодаря этому на виду, что и сколько распечатывают сотрудники – ИБ-специалисты могут контролировать, кому, какими принтерами можно пользоваться, какие документы можно, а какие нельзя печатать. А чтобы не перегружать хранилище данных, из перехвата можно исключить текстовое и графическое содержимое распечаток.

Таким образом, для контроля ПК на ОС Linux теперь доступен функционал всех модулей КИБ: MailController, HTTPController, FTPController, CloudController, IMController, DeviceController, MonitorController, KeyLogger, MicrophoneController, ProgramController, PrintController.


Попробуйте комплексный контроль с DLP прямо сейчас – все новинки и базовый функционал в полном доступе бесплатно на первые 30 дней.
КИБ Контур информационной безопасности DLP
Alt text

Анонсы лучших вебинаров, курсов и других ИБ событий, тщательно отобранных экспертами на нашем телеграмм канале. Большинство мероприятий бесплатные!

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.