Главное за год: зимние обновления «СёрчИнформ КИБ»

Главное за год: зимние обновления «СёрчИнформ КИБ»

Подводим итоги прошедшего года и рассказываем о самых полезных новых фичах в КИБ.

1. БЛОКИРОВКИ

Продолжилась работа по развитию проактивного функционала. В КИБ традиционно сильная контентная аналитика – теперь на ее основе работают больше блокировок.

По содержимому изображений

Например, появилась возможность блокировать по контенту картинки – в мессенджерах, на сайтах, при записи на флешку и распечатке. Для этого достаточно установить галочку «Включить OCR» в разделе «Блокировки» в нужном канале передачи данных.



По содержимому файлов и сообщений в web

На сайтах теперь можно запретить передачу файлов и сообщений в зависимости от содержания. Необходимо задать страницу или перечень сайтов, где должна действовать блокировка, и указать условия поиска. Доступны все виды поиска по контенту, например, фразовый или поиск похожих. Так задаются ключевые слова, на которые будет срабатывать блокировка – вне зависимости, отправляются они текстом или содержатся во вложениях. По умолчанию блокировка работает и на сообщения, и на файлы. Для корректной работы с последними запрос можно уточнить атрибутами: именем, размером, форматом файла, указать, должен ли он быть защищен паролем и т.д. Также в качестве условия можно указать метку ручной классификации FileAuditor, и по ней применится блокировка.

Применять такие запреты можно для всех или выбранных пользователей, на конкретных ПК, или только если запущен определенный процесс.

Показываем блокировку на примере контентной блокировки на сайте yandex.ru в браузере Chrome. Заодно на видео видно, как работает блокировка по содержимому в изображениях.

Как это работает: видео

По контенту в буфере обмена

Запрет распространяется на копирование и вставку данных через буфер обмена, причем как объектов – файлов, так и текстовых сообщений. В последнем случае можно настроить блокировку по любому виду текстового поиска. Например, по фразе «Годовой отчет» КИБ будет блокировать все попытки вставить искомый текст в любое приложение. Условия можно уточнить, указав конкретный процесс, при котором должен работать запрет – это еще одна новинка для DeviceController. Также ИБ-специалист может указать пользователя или компьютер, которым необходимо запретить действие. Блокировка сработает в любом случае: и при вставке через сочетание горячих клавиш (CTRL+C, CTRL+V), и при команде из контекстного меню.


Вот, как это выглядит на практике.

Как это работает: видео

Расширился и набор контекстных блокировок.

Например, появилась возможность ограничить доступ к веб-версиям WhatsApp и Telegram. Для WhatsApp можно заблокировать передачу файлов, для Telegram – полностью запретить доступ к мессенджеру.

Обе блокировки настраиваются в один клик, без дополнительных усилий. Для файлов WhatsApp потребуется уточнить тип, можно указать запрещенное к передаче содержимое. С Telegram все проще: включенная опция лишит пользователя возможности зайти на сайт из любого браузера и через любой протокол – страница просто не загрузится. При этом остальные веб-ресурсы будут открываться без проблем.

Как это работает: видео

Также появилась полная блокировка запуска выбранного процесса. Для этого в разделе «Блокировки» консоли администрирования КИБ появился отдельный пункт. Там указывается сам процесс (его необходимо прописать по маске вручную) и дополнительные условия для срабатывания правила: имя пользователя или ПК, действие – разрешено или запрещено. Например, можно одновременно создать правила, разрешающие всем работу с программой, и вводящее запрет для конкретного человека. В таких сочетаниях обращайте внимание на порядок отображения правил в консоли – чем запрет выше, тем он приоритетней.


Как это работает: видео

2. ПРОЗРАЧНЫЙ МОНИТОРИНГ РАБОЧЕГО ВРЕМЕНИ

Мы уже рассказывали , что в КИБ есть пользовательский интерфейс, через который сотрудник может запросить доступ к принтерам и флешкам и увидеть статус доступа к устройствам. Теперь через него пользователя можно уведомить о том, что ведется мониторинг рабочего времени. Достаточно развернуть окно интерфейса на ПК сотрудника – в нем отобразится шкала активности за день. Это дисциплинирующая функция: сотрудники наглядно увидят, что мониторинг их продуктивности ведется автоматически и фиксирует затянувшиеся паузы.

В том числе КИБ научился фиксировать попытки пользователей обмануть контроль с помощью программ-автокликеров, имитирующих нажатие клавиш и движение мыши. Система автоматически выделяет симулированную активность и отражает это специальным значком при просмотре перехвата ProgramController в Консоли Аналитика.

Подробнее о новинках мы рассказывали здесь , а теперь показываем, как это работает.

Как это работает: видео

3. УСИЛЕННЫЙ КОНТРОЛЬ МОНИТОРА

В КИБ добавились функции по распознаванию контента на скриншотах и стало больше опций для их создания по условию.

Например, появилась возможность делать контрольные снимки экрана, если пользователь вводит ключевые слова. Достаточно задать слово-триггер, на которое будет реагировать система, в настройках MonitorController. Также потребуется указать интервал, с которым будет производится съемка экрана, и ее продолжительность: например, по снимку каждые 30 секунд в течение 3 минут. Напомним, что аналогично можно настроить контрольную съемку при загрузке определенного URL или запуске процесса.

Результаты можно просмотреть в Консоли Аналитика для источника «Монитор»: они доступны по фильтру «Причина съемки – Ввод ключевого слова».


Как это работает: видео

4. ЗАЩИТА ОТ ФОТОГРАФИРОВАНИЯ ЭКРАНА

Киллер-фича в КИБ – DLP-система расширила возможности контроля утечек на смартфоны. Теперь, если куда-то в сеть утечет снимок экрана корпоративного ПК, ИБ-специалист сможет определить , кто и когда его слил. Это делается благодаря водяным знакам.

Они отображаются поверх всех окон и содержат информацию о текущих дате, времени, учетной записи сотрудника и ПК, за которым он работает. Включить отображение знаков можно в настройках MonitorController, там же задается прозрачность и размер. Прозрачные не отвлекают сотрудников от работы, а яркие напоминают им о контроле.

Чтобы определить источник утечки, обнаруженный снимок нужно загрузить в КИБ через Консоль Аналитика и включить фильтры. Есть три варианта обработки фотографии, выбирать их стоит в зависимости от того, какой фон на снимке – темный, светлый или что-то посередине. Благодаря фильтрам КИБ «проявляет» плохо различимые водяные знаки, чтобы информация на них читалась с точностью.


На видео разобрали, как это выглядит со стороны пользователя и ИБ-специалиста.

Как это работает: видео

5. ОБНАРУЖЕНИЕ КРАЖИ УЧЕТКИ

КИБ развивает возможности умного распознавания изображений. Ранее мы рассказывали , что нейросети «под капотом» системы умеют определять, что экран ПК пытаются сфотографировать. Еще одна умная функция – распознавание лиц в КИБ. Это помогает выявлять кражу аккаунта, чужаков за компьютерами сотрудников, попытки обойти контроль – заклеенные или сломанные веб-камеры. Функционал работает автоматически.

Есть два способа обнаружить такие инциденты. Во-первых, чтобы найти посторонних за учетками сотрудников, можно создать политику безопасности – нужен поиск по источнику CameraController с критерием «Тип найденного лица – Обнаружено чужое лицо». Система будет автоматически искать такие инциденты и оповещать о них.


Второй способ – для ручного просмотра. В Консоли Аналитика нужно выбрать источник «Веб-камера» и применить фильтр «Распознавание лица». Доступны разные значения, для обнаружения чужаков подойдет соответствующий пункт – «Чужое лицо».

Чтобы убедиться, что система выявила постороннего, достаточно сравнить полученный снимок с изображением нужного сотрудника в Карточке пользователя.

На видео настройка и результаты поиска показаны наглядней.

Как это работает: видео

Еще больше таких роликов – на нашем YouTube-канале . Подписывайтесь, чтобы не пропустить видео-разборы актуальных новинок, вебинары, доклады и многое другое.

DLP дайджест защита информации защитное ПО КИБ обновления СёрчИнформ
Alt text

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.