Журнал "Information Security/ Информационная безопасность" #3, 2022

"СерчИнформ КИБ" – зрелая система, одна из самых популярных в классе DLP. Это отечественный продукт модульного исполнения, контролирующий все популярные каналы передачи информа- ции, в том числе актуальные мессендже- ры и удаленные соединения. DLP имеет сильный самописный движок, благодаря которому можно найти и проанализиро- вать любую информацию. Софт эконо- мичен: он нетребователен к железу, что сейчас крайне актуально, а в обучении и настройке поможет отдел внедрения и инженеры, которые снимут много голов- ной боли со штатного ИБ-специалиста. Расскажем, как мы обновили КИБ за последний год по запросам заказчиков. Импортозамещение КИБ может контролировать ПК на базе российских ОС Astra Linux, Ред ОС, GosLinux, Rosa Linux, Alt Linux, Runtu и др., совместимость подтверждается сертификатами и проверяется разра- ботчиками DLP и OC совместно для каждой новой версии. Например, в фев- рале 2022 г. "СерчИнформ КИБ" получил сертификаты совместимости с Astra Linux версии 2.12 (релиз "Орел") и с "Ред ОС" версии 7.3. В 2021 г. мы урав- няли возможности контроля Windows- и Linux-инфраструктур. Конкретные набо- ры инструментов КИБ для разных систем могут различаться, однако в целом можно говорить, что для контроля ПК на отечественных ОС теперь доступна функциональность всех модулей КИБ. Контроль MacOS Мы выпустили агент DLP-системы "СерчИнформ КИБ" для контроля рабо- чих станций под управлением macOS. Для таких устройств доступны все функ- ции КИБ, в том числе позволяющие контролировать активность сотрудников за ПК и расследовать инциденты. Досту- пен также продвинутый функционал в составе DLP: карточки пользователей, инцидент-менеджмент, более 30 шаб- лонов отчетов. Усилить защиту помогает интеграция с инструментами КИБ, кото- рые не зависят от платформы, – поч- товым карантином и сервисом контроля веб-трафика, реализованным на уровне взаимодействия с почтовым или proxy- сервером. Такая связка минимизирует большинство рисков утечки данных. Блокировки В связи с массовой удаленкой запрос на проактивный функционал в DLP вырос. Поэтому мы расширили возможности блокировок, а заодно переработали их механизм. Блокировки могут работать как по контенту (содержимому), так и по контексту (атрибутам и свойствам дан- ных), причем анализ теперь осуществ- ляется в конечных точках. Это повышает быстродействие запретов, так как не требуется обработка данных на сервере. Вот только некоторые из них. 1. Блокировки в веб – невозможность выгрузить файлы на выбранные сайты или категории сайтов. Эта блокировка позволяет, например, запретить попытки прикрепить к вложениям некорпоратив- ной (веб) почты рабочие документы с конфиденциальным содержимым или выложить корпоративные секреты в переписке в соцсети. 2. Блокировки печати – запрет распе- чатки документов с заданным содержи- мым, в том числе по изображению, рас- познанному OCR. Настроить запреты можно гибко: по пользователю или группе, ПК, принтеру, запущенному процессу. 3. Блокировки текста, файлов в мес- сенджерах. В Zoom, Slack, Telegram и WhatsApp можно запретить отправку файлов выбранных форматов, расши- рений и с заданным содержимым. Напри- мер, если в правиле настроен запрет на отправку файлов с текстом "коммерче- ское предложение" в мессенджере, поль- зователь не сможет прикрепить такой документ к вложению в чате (см. рис. 1). Для всех перечисленных мессенджеров (пока кроме WhatsApp) также доступна блокировка отправки текстовых сообще- ний с заданным содержанием. Сообще- ние, содержащее запрещенный контент, придет адресату в нечитаемом виде. Контроль фотографирования экрана Еще одна важная новинка, которую ждали многие заказчики: "СерчИнформ КИБ" научился распознавать инциденты, связанные с попытками украсть важные данные через фото на телефон. Искус- ственный интеллект анализирует данные с веб-камер пользователей и сигнали- зирует в случае распознавания смарт- фонов. В КИБ можно посмотреть, какой процесс был запущен в момент съемки (например, была открыта база данных клиентов), чтобы с высокой вероятностью выявить, имел ли место слив через фото экрана (см. рис. 2). 22 • СПЕЦПРОЕКТ Главные обновления "СерчИнформ КИБ" спользование организацией DLP-системы сейчас – это как ношение шлема велосипедистом в Бангкоке. Экономическая, политическая ситуация действует как катализатор инцидентов, среди их последствий, кроме финансового и имиджевого ущерба, скорее всего, окажется и нарушение комплаенса. А тем временем оборотный штраф за утечки ПДн становится все более реальной перспективой. Если вы задумали в этой ситуации внедрять DLP, “СерчИнформ КИБ” с большой вероятностью войдет в число систем, которые вы будете тестировать. И Алексей Парфентьев, руководитель отдела аналитики “СерчИнформ” Рис. 1. Блокировки в "СерчИнформ КИБ"