Самые сливки: новые фичи «СёрчИнформ КИБ», о которых вы не знали

Если вы вдруг с нами впервые, знакомим: КИБ – наш флагманский продукт, DLP-система для защиты от утечек и корпоративного мошенничества. За прошлый год мы «раскачали» ее на максимум. В этом посте постарались коротко изложить суть главных обновлений – и показать, как они работают. Добро пожаловать под кат!

1. Блокировки

После ковидных потрясений, когда бизнес массово уходил на удаленку, контролировать активность сотрудников стало сложнее, поэтому выгодней оказалось «обрубать» опасные каналы, чтобы разбираться с нарушениями на подлёте. Поэтому первым делом мы расширили возможности блокировок, а заодно переработали их механизм. Они работают по контенту (содержимому) и контексту (атрибутам и свойствам) данных, причем анализ теперь осуществляется в конечных точках. Это повышает быстродействие запретов, так как не требуется обработка данных на сервере. Вот только некоторые из них.

1.1.      Блокировки в web

Мы добавили блокировки передачи файлов и данных на выбранные сайты. Они тоже учитывают контент и контекст. Например, это позволяет запретить попытки прикрепить во вложения некорпоративной (веб) почты рабочие документы с конфиденциальным содержимым, или изложить корпоративные секреты в переписке в соцсети.

Теперь можно запретить доступ к выбранному ресурсу или целой категории сайтов (онлайн-казино, соцсети, порталы по поиску работы и т.д.) для отдельных пользователей и групп. Такие блокировки можно задать по расписанию: например, блокировать развлекательные сайты для всех сотрудников в рабочее время, кроме обеда.

1.2.      Блокировки печати

Добавили возможность запретить распечатку документов с заданным содержимым. КИБ заблокирует отправку файла на принтер, а пользователь получит уведомление о запрете подобных действий (если включен интерфейс на агенте). Настроить запреты можно гибко: по пользователю или группе, ПК, принтеру, запущенному процессу.

1.3.      Блокировки устройств

Инциденты, связанные с попытками слить «запрещенку» на съемные устройства, стало удобнее расследовать благодаря атрибуту «Причина блокировки» в поиске по DeviceAudit (это индекс, в котором КИБ хранит историю пользовательских обращений с флешками).

Уведомить юзеров о блокировке устройств можно через интерфейс на агенте. С его помощью сотрудники также могут запросить временный доступ к флешкам, принтерам и другим периферийным устройствам – нужно только указать, зачем, на какое время нужно подключить девайс, и выбрать нужный уровень доступа. ИБ-специалисты, в свою очередь, могут удовлетворять, отклонять запросы или оперативно останавливать выданные ранее разрешения.

1.4.     Блокировки файлов и сообщений в мессенджерах

В мессенджерах Zoom, Slack, Telegram и WhatsApp можно запретить отправку файлов выбранных форматов, расширений и с заданным содержимым. Например, если в правиле настроен запрет на отправку файлов с текстом «Коммерческое предложение» в мессенджере, пользователь не сможет прикрепить такой документ во вложения в чате.

Для всех перечисленных мессенджеров, кроме WhatsApp, также доступна блокировка отправки текстовых сообщений с заданным содержанием. Сообщение, содержащее запрещённый контент, придет адресату в нечитаемом виде.

Как это работает: https://www.youtube.com/watch?v=JnvAuJj3FNA&t=129s

2. Карантин 2.0

             Новый карантин проверяет почтовый трафик на выделенном движке, не задействуя основные мощности системы. Правила проверки писем легко задать с помощью шаблонов, а при их сработке – инициировать запуск внешнего скрипта для немедленного реагирования на опасный инцидент.

2.1.      Оповещение пользователей

ИБ-отдел может предоставить пользователям возможность самостоятельно разблокировать письма, попавшие в карантин:

• Через ответное письмо – пользователю нужно ответить на автоматическое оповещение о блокировке, чтобы ее отменить.
  
• По ссылке – пользователю нужно перейти по ссылке в автоматическом оповещении о блокировке, чтобы ее отменить.
  

Это снижает нагрузку на отдел ИБ и снижает риск остановки легитимных бизнес-процессов.

2.2.      Метрики карантина

Чтобы удобно следить за работоспособностью карантина, мы добавили удобные метрики.

«Метрики Quarantine» отображают показатели загрузки сервера карантина при обработке писем (текущее количество писем, процентное соотношение писем и т.д.). Если удобнее просматривать метрики службы карантина в веб-интерфейсе, можно использовать приложение Grafana. В блоке дашбордов карантина доступны: статистика обработки трафика, количество блокировок и количество ошибок.

2.3.      Исключение внутренней почты из карантина

Чтобы снизить нагрузку на сервер карантина, можно исключить из него внутреннюю почту. Сотрудники смогут обмениваться письмами без ограничений, но только внутри компании. Необходимо включить опцию «Исключить внутренние почтовые сообщения из обработки» и задать перечень корпоративных доменных адресов. Из карантина будут исключены все письма, в которых и отправитель, и получатель имеют почтовый адрес, принадлежащий к домену из заданного списка. Функционал доступен для писем, которые пользователи отправляют в MS Outlook.

Как это работает: https://www.youtube.com/watch?v=JnvAuJj3FNA&t=43s

3. Пользовательский интерфейс на агенте (GUI)

На агенте появился пользовательский интерфейс, который:

• Уведомляет сотрудника о разрешениях или запретах доступа.
  
• Позволяет запросить доступ к использованию устройств.
  
• Работает для всех устройств, контролируемых DeviceController, а также принтеров.
  

ИБ-специалист может выдать или не выдать разрешение на запрошенный период, изменить период доступа или отозвать разрешение во время сессии при подозрении на инцидент.

3.1.      Почтовые уведомления при запросах доступа через GUI

Чтобы не пропустить уведомления о запросах на пользование съемными устройствами, которые пользователи
отправляют со своих ПК, можно настроить отправку оповещений о них на почту. Если таких запросов много, удобнее настроить отправку оповещений в виде дайджеста. Каждый запрос будет отражаться в консоли EndpointController и дублироваться на email.

3.2.       Скриншоты монитора при предоставлении временного доступа

Чтобы усилить контроль за тем, что пользователи делают со съемным устройством во время запрошенной сессии доступа, можно настроить на эти периоды принудительные снимки экрана с заданным интервалом. Снятие скриншотов активируется в момент разрешения пользователю доступа к устройству и деактивируется по истечении запрошенного периода доступа.

Чтобы найти снимки монитора, сделанные в ходе запрошенной сессии, нужно включить источник данных Monitor и задать атрибут «Предоставление временного доступа» в фильтре «Причина».

Как это работает: https://www.youtube.com/watch?v=JnvAuJj3FNA&t=259s

4. Новые отчеты

В КИБ появилось больше отчетов, которые позволяют собрать и структурировать больше данных о пользователях и контролировать больше ИБ-рисков.

4.1.      По связям пользователей

Отчет показывает, с кем в компании и за ее пределами пользователи ведут наиболее активную email-переписку. Позволяет отслеживать интенсивность трафика и фиксировать немотивированные всплески активного общения сотрудников с коллегами или внешними адресатами. Это дополняет и детализирует граф связей.

4.2.      По авторизации на сервисах

Отчет «Авторизации на сервисах» показывает учетные записи сотрудников за пределами корпоративной инфраструктуры, которые они используют для рабочих задач (например, в официальных социальных сетях компании, в CRM, облачных хранилищах и т.д.). Выявляет факты передачи личной учетной записи кому-то еще в компании (вход с разных ПК на один и тот же сервис).

Отчет «Топ процессов/сайтов с авторизацией» показывает график о популярности в компании сайтов, где требуется авторизация по пользователю/паролю. В отчет попадает любой сайт, где произошла регистрация/вход под уже созданной учетной записью. Позволяет отслеживать факты использования сотрудниками нелегитимных или небезопасных сервисов, чтобы уточнить разграничения доступа к таким ресурсам с рабочего места.

4.3.      Карточка пользователей

Вся информация о пользователе объединяется в удобном представлении. Карточка содержит краткую биографию, учетные данные сотрудника, архив связанных с ним инцидентов и данные об эффективности.

Также в карточке приведен краткий отчет ProfileCenter с характеристиками личности пользователя. Он отражает:

• Сильные и слабые стороны

• Стабильные и изменчивые качества

• Уровень амбиций

• Базовые ценности

• Криминальные тенденции и риск-факторы

• Рекомендации для ИБ-отдела

Дополнительно в карточку встроен отчет «Авторизации», который показывает, за каким ПК, на каком сервисе, под какой учеткой залогинился сотрудник. Сервис анализирует сложность паролей пользователя и сигнализирует об опасности, если учетные данные на стороннем ресурсе совпадают с паролем от корпоративной учетной записи в Active Directory. Это позволяет контролировать риски компрометации данных для доступа в инфраструктуру компании.

4.4.      Больше web-отчетов

В КИБ переработана web-консоль: в ней появились инструменты для поиска, просмотра инцидентов (функционал AlertCenter и Analytic Console), а также существенно расширен список отчетов, доступных для просмотра онлайн:

• Онлайн-активность
  

• Табель рабочего времени (в т.ч. с учетом индивидуальных графиков работы)
  

• Количество инцидентов
  

• Связи пользователей
  

• Подключаемые устройства и т.д.
  

5. Открытый API

Появилась возможность интеграции КИБ со сторонними системами по API для загрузки произвольных текстов, файлов и архивов перехвата. По API можно:

• Импортировать базы перехвата для анализа (архив почты, история чатов и пр.).
  

• Встраивать функционал в сторонние системы (проверки по критериям).
  

• Автоматизировать работу с Консолью Аналитика
  

Это позволяет контролировать источники за пределами периметра. Для удобства интеграции по API реализована отдельная консоль.

6. Task Management

В КИБ появился «планировщик задач» для ИБ-отдела с удобным функционалом для ведения сложных расследований. Task Management позволяет:

• Задать роли ИБ-аналитиков

• Расставить приоритеты для задач

• Объединять все улики

• Вести досье на инсайдеров и их сообщников

• Экспортировать результаты расследования

7. Новые возможности FileAuditor

Модуль для автоматического поиска конфиденциальных документов в файловой системе расширен новыми возможностями.

7.1.      «Ручные» метки классификации по уровню доступа

FileAuditor находит все документы по заданным параметрам (ПДн, счета, договоры и пр.) и автоматически размечает их по категориям. В дополнение к автоматической классификации документов FileAuditor позволяет выбранным пользователям самостоятельно устанавливать маркеры конфиденциальности на документы.

Метки можно расставить из интерфейса офисных приложений (весь пакет MS Office), а также из контекстного меню. Они отображаются в виде водяного знака и отметки в колонтитулах, оповещая пользователя о важности документа:

• «Конфиденциально»

• «Общедоступно»

• «Для служебного пользования»

• Пользовательские значения (задаются специалистом отдела ИБ)

Также цветная миниатюра метки отображается на ярлыке помеченного файла. Это позволяет наглядно напомнить пользователям о правилах ИБ и контроле за их соблюдением, что способствует повышению осторожности при работе с важными документами и снижению числа утечек.

7.2.      Поиск по индексу FileAuditor

При интеграции с КИБ FileAuditor позволяет искать определенный контент внутри файлов с метками классификации (тематические классы: ПДн, бухгалтерия, КТ; уровни доступа: конфиденциально, для служебного пользования, общедоступно и пр.). В рамках категории доступны все виды поиска. Это значит, что можно искать по содержимому файлов с заданной меткой автоматической, ручной классификации, а также по меткам Microsoft Information Protection.

FileAuditor поддерживает поиск по атрибутам, по словарям, по последовательности символов, фразовый поиск, улучшен поиск по регулярным выражениям.

Как это работает: https://www.youtube.com/watch?v=JnvAuJj3FNA&t=320s

7.3.      Изменение прав доступа к файлам с помощью стандартного компонента ОС

Чтобы управлять правами пользователей в ОС и гибко настраивать разрешения на конкретные операции с файлами и папками, в FileAuditor в контекстное меню выбранного файла/каталога/диска добавлена команда «Изменить права».

Функция помогает быстро устранить проблему, например, если права на файл получает пользователь, которому запрещён доступ к родительской папке. Удалить избыточные права можно в один клик, это быстрей и удобней, чем ручная настройка через интерфейс ОС.

Также функционал позволяет гибко настраивать разрешения на конкретные операции с файлом для пользователей прямо из консоли Файлового аудитора.

Как это работает: https://www.youtube.com/watch?v=JnvAuJj3FNA&t=402s

7.4.      Блокировки файлов в произвольных приложениях

Документы, получившие метки классификации FileAuditor (тематические классы: ПДн, бухгалтерия, КТ; уровни доступа: конфиденциально, для служебного пользования, общедоступно и пр.) можно защитить от нежелательного доступа и операций пользователей.

Ограничения можно задать по пользователям, группам пользователей, ПК. Блокировка работает на уровне запрета обработки файла заданным приложениям (процессам). Это значит, что можно запретить чтение, изменение, пересылку, любой доступ к файлу для любых произвольных приложений: от офисных редакторов, браузеров и мессенджеров до самописного корпоративного ПО.

Отследить попытки пользователей получить доступ к конфиденциальным файлам можно с помощью атрибута «Причина блокировки» для FileController в Консоли аналитика.

____________________________________________________________________________________________________­__

P.S. В экспериментальном формате завели новую рубрику на YouTube (или каком-то еще видеохостинге, если вы читаете это после шатдауна), где моделируем инциденты и наглядно показываем, как с ними справляются наши продукты. Вот ссылка: https://youtu.be/JnvAuJj3FNA

Подпишитесь на наш канал – будем стараться делать такие ролики чаще и информативней ;)