Все модули системы размещаются на двух платформах «СёрчИнформ КИБ»:
SearchInform NetworkController
SearchInform EndpointController
Контроль сетевой активности пользователей.
Контроль активности пользователей на рабочих местах.
Зеркалирует трафик на уровне корпоративной сети (коммутатора).
Фиксирует действия сотрудников с помощью установленных на компьютеры программ-агентов.
Теневая копия трафика сразу отправляется на сервер, где проходит проверку.
Данные отправляются на сервер для проверки:
Как анализирует?
«Мозговой центр» КИБ – AlertCenter – регулярно опрашивает все компоненты продукта, используя более 10 поисковых алгоритмов. При обнаружении определенных слов, фраз, фрагментов текста или файлов система сообщает об их использовании офицеру безопасности. Результаты мониторинга отображаются в ReportCenter.
Проверки происходят с заданной частотой и в соответствии с политиками безопасности, каждая из которых ориентирована на поиск данных конкретного типа. «СёрчИнформ КИБ» задействует два вида политик:
В КИБ по умолчанию включено более 250 политик безопасности, которые могут применяться сразу после установки DLP-системы. Работа по созданию новых политик ведется постоянно.
«СёрчИнформ КИБ» использует следующие механизмы поиска:
Поиск по словам
Позволяет находить документы с заданными словами, их формами и синонимами вне зависимости от того, в каком месте документа они находятся.
Поиск по фразам
Анализирует документ по словосочетаниям (например, фамилии и имени) или устоявшимся определениям.
Поиск по словарям
Позволяет обнаружить документы, содержащие слова из сформулированного перечня – словаря по заданной теме (например, теме наркомании, алкоголизма и т.д.)
Поиск похожих
Позволяет отслеживать даже отредактированные документы. Поисковым запросом может выступать как целый документ, так и отдельный его фрагмент. В результате поиска выявляются документы, похожие на оригинал не только «технически», но и по смыслу.
Поиск по атрибутам
Позволяет искать документы по формату, получателю, отправителю и иным атрибутам. Можно отслеживать активность доменных пользователей, IP-адреса, определенные адреса электронной почты, документы и т.д.
Поиск по регулярным выражениям
Позволяет найти данные по их форме – шаблону регулярных выражений (ФИО, серия и номер паспорта и т.д.). С помощью шаблонов можно отследить пересылку информации из баз данных, содержащих множество полей.
Поиск по цифровым отпечаткам
Позволяет быстро отследить в информационных потоках файлы, содержащие большие фрагменты текста из конфиденциальных документов.
Комплексные запросы
Позволяет использовать более сложный алгоритм поиска, используя два и более простых запроса, объединенных с помощью логических операторов AND, OR и NOT.
Как наладить работу с системой?
Автоматизируйте постоянные задачи по контролю данных
Пусть DLP-система регулярно проверяет перехваченную информацию и сообщает о подозрительных действиях или нарушениях.
Проводите оперативный поиск и расследуйте инциденты
Как только система обнаружит проблему и оповестит об этом, офицеры безопасности смогут приступить к расследованию. Аналитических возможностей КИБ хватит, чтобы восстановить детали и предотвратить утечку.
Анализируйте отчеты, чтобы оптимизировать рабочие процессы
Программа собирает статистику и формирует более 30 отчетов, которые помогут:
Если работа с системой налажена грамотно, с обеспечением безопасности в компании численностью 1000-1500 сотрудников справится один офицер безопасности.
Отдел внедрения «СёрчИнформ» поможет использовать КИБ максимально эффективно
Менеджеры отдела внедрения – это опытные практики, которые оперативно ответят на любые вопросы, а также:
ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ
Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними
Решение, которое защитит бизнес в несколько шагов:
Система работает на двух уровнях: контролирует данные, уходящие в Сеть, и следит за тем, что происходит на компьютерах работников. КИБ следит за безопасностью 24 часа в сутки как внутри офиса, так и в случаях, когда сотрудники отправляются в командировки или работают из дома.
ЧТО КОНТРОЛИРУЕТ
Система в режиме реального времени анализирует все, что происходит в компании. Перехват сохраняется и позволяет восстанавливать детали прошедших событий, если возникает необходимость расследования.
КАНАЛЫ СВЯЗИ
Электронная почта, Skype, мессенджеры, форумы, облачные хранилища и др.
ДЕЙСТВИЯ СОТРУДНИКОВ
Занятость за компьютером, поведение, криминальные тенденции и проч.
ХРАНИМУЮ ИНФОРМАЦИЮ
Ее нахождение в «правильных» сетевых папках, на «разрешенных» компьютерах и т.д.
КАКИЕ ЗАДАЧИ РЕШАЕТ
«СёрчИнформ КИБ» предлагает больше возможностей, чем классическая DLP. Благодаря аналитическим инструментам, а также ориентации не только на данные, но и на пользователя, система:
ПРИНЦИП РАБОТЫ
Все модули КИБ размещаются на двух независимых платформах
AlertCenter: анализ перехвата и оповещения о нарушениях
В «мозговом центре» КИБ задаются политики безопасности, в соответствии с которыми модуль по заданному расписанию или по команде проводит поиск по собранному массиву данных. В случае обнаружения нарушений AlertCenter уведомляет ИБ-специалиста об инциденте.
AnalyticConsole: возможности аналитики данных
Модуль служит для поиска и углубленного анализа собранных данных, а также для онлайн-наблюдения за компьютерами работников. В распоряжении ИБ-специалиста – различные поисковые алгоритмы и предустановленные шаблоны отчетов.
МОДУЛИ ПЕРЕХВАТА
КИБ состоит из модулей, каждый из которых контролирует свой канал передачи информации
MailController
Перехватывает всю электронную почту (Gmail, Mail.ru, Яндекс.Почта и др.)
Индексация рабочих станций
Обнаруживает документы, которые хранятся с нарушением политик безопасности
IMController
Перехватывает чаты в социальных сетях и мессенджерах
FTPController
Перехватывает документы по протоколу FTP
HTTPController
Перехватывает файлы и сообщения по HTTP/HTTPS-протоколам
CloudController
Контролирует файлы, принятые и отправленные в облачные хранилища
MonitorController
Фиксирует происходящее на экране и в поле обзора веб-камеры ПК
MicrophoneController
Записывает переговоры сотрудников в офисе и за его пределами
PrintController
Контролирует содержимое документов, отправленных на печать
DeviceController
Перехватывает информацию, записываемую на внешние носители
Keylogger
Фиксирует нажатия клавиш и информацию, скопированную в буфер обмена
ProgramController
Собирает данные об активности и времени, проведенном в приложениях
АНАЛИТИЧЕСКИЕ ВОЗМОЖНОСТИ
Контроль информационных потоков и перехват данных – только часть функциональности DLP-системы. Чтобы проанализировать массив информации и обнаружить инцидент, «СёрчИнформ КИБ» запускает мощные поисковые механизмы, которые работают со всеми видами конфиденциальной информации. Анализ максимально автоматизирован, чтобы увеличить скорость реакции на инцидент
ПОЛИТИКИ БЕЗОПАСНОСТИ
250+ политик безопасности, готовых к работе
УНИВЕРСАЛЬНЫЕ
ПОДХОДЯТ ЛЮБОЙ КОМПАНИИ
Подходят всем компаниям независимо от сферы деятельности: контроль откатов и взяточничества; выявление негативных настроений в коллективе и т.д.
ОТРАСЛЕВЫЕ
УЧИТЫВАЮТ СПЕЦИФИКУ СФЕРЫ
Подстроены под специфику конкретной отрасли: добывающая промышленность; газо-, электро-и водоснабжение; строительство; торговля; транспорт и т.д.
ИНДИВИДУАЛЬНЫЕ
РАЗРАБАТЫВАЮТСЯ ПОД ЗАПРОСЫ
Политики, которые специалисты «СёрчИнформ» бесплатно создают по запросу клиента.
ТЕХНИЧЕСКИЕ ПРЕИМУЩЕСТВА
5 ключевых преимуществ «СёрчИнформ КИБ» перед конкурентами
Проверьте, что хранится в сетевых папках и на ПК компании. Изучите действия пользователей с ценными файлами и права доступа. Это бесплатно на 30 дней.
Комплексный подход к ИБ: защита в трех временах
Узнайте из белой книги, как распознать угрозу до нарушения, «поймать» инцидент и понять, что к нему привело.
Аутсорсинг DLP для защиты бизнеса
Как устроен аутсорсинг внутренней безопасности? Скачайте белую книгу с подробным описанием услуги и практическими советами.
НАШИ ПРОДУКТЫ
Решения «СёрчИнформ» легко сочетаются между собой. При совместном использовании обеспечивают полномасштабную защиту бизнеса на всех уровнях.
ВЫЯВЛЕНИЕ УГРОЗ В РЕЖИМЕ ОНЛАЙН
Выявляет аномалии в информационных потоках и сообщает о критических событиях в режиме реального времени.
Защищает корпоративные данные в процессе хранения, использования и перемещения по локальной сети и за ее пределы.
АУТСОРСИНГ DLP
НАСТРОЙКА И ОБСЛУЖИВАНИЕ DLP
Повышает уровень защиты данных, позволяет решить проблему с нехваткой ИБ-кадров и минимизировать затраты на безопасность.
FILEAUDITOR
МОНИТОРИНГ ФАЙЛОВ С КРИТИЧНОЙ ИНФОРМАЦИЕЙ
Проводит аудит файловой системы, находит нарушения прав доступа и отслеживает изменения в критичных данных.
DATABASE MONITOR
КОНТРОЛЬ ОБРАЩЕНИЙ К БАЗАМ ДАННЫХ
Проводит мониторинг и аудит операций с базами данных и бизнес-приложениями, контролирует изменения и выгрузку большого объема данных.
TIMEINFORMER
КОНТРОЛЬ РАБОЧЕГО ВРЕМЕНИ
Анализирует активность сотрудников. Защищает от неэффективного труда и финансовых потерь, связанных с персоналом.
КЕЙСЫ
Возможности продуктов «СёрчИнформ» на практике клиентов.
КРАЖА ИНФОРМАЦИИ
Предотвращение попытки «вынести» секреты фирмы перед увольнением.
ФИРМЫ-БОКОВИЧКИ
Раскрытие сговора между сотрудниками и пресечение «боковых» схем продаж производимого компанией оборудования.
ЗАСЛАННЫЙ КАЗАЧОК
Выявление сотрудника, который устроился на работу с целью получить доступ к 1С и слить информацию конкуренту.
РАСПРОСТРАНЕНИЕ НАРКОТИКОВ
Разоблачение менеджера, наладившего поставки наркотиков с помощью логистического парка фирмы.
МЕСТЬ СОТРУДНИКА
Предупреждение волнений в коллективе и пресечение попытки слить конфиденциальную информацию.
РАЗГУЛЬНЫЕ ВЫХОДНЫЕ
Реанимация трудовой дисциплины и изъятие фото секретного объекта со страниц в соцсетях.
УЧЕБНЫЙ ЦЕНТР
Учебный центр «СёрчИнформ» занимается переподготовкой и повышением квалификации ИБ-специалистов. Это помогает клиентам совершенствовать уровень информационной безопасности в своих организациях. Компания также сотрудничает с вузами, участвуя в подготовке молодых специалистов.
ИБ-специалистов прошли обучение в УЦ «СёрчИнформ».
раз в год в среднем проводятся обучающие программы.
программ подготовили эксперты «СёрчИнформ» для упрощения работы ИБ-специалистов.
Требования регуляторов в сфере информационной безопасности
Приказ ФСТЭК России от 18 февраля 2013 г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» обязателен к исполнению для всех операторов персональных данных.
Приказ ФСТЭК России от 11 февраля 2013 г. №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» обязателен к исполнению для государственных и муниципальных структур, а также их подведомственных организаций и всех лиц, обрабатывающих государственные информационные ресурсы.
МЕРЫ: УПД
II. Управление доступом субъектов доступа к объектам доступа (УПД)
УПД.2. Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа.
Применение «СёрчИнформ КИБ»: Управление доступом, в том числе типом доступа, к USB-устройствам и сетевым папкам. Компонент: DeviceController
Усиление УПД.2 п. 2. Правила разграничения доступа должны обеспечивать управление доступом субъектов к техническим средствам, устройствам, внешним устройствам.
Применение «СёрчИнформ КИБ»: Управление доступом, в том числе типом доступа, к USB-устройствам и сетевым папкам. Компонент: DeviceController
УПД.14. Регламентация и контроль использования в информационной системе технологий беспроводного доступа.
Применение «СёрчИнформ КИБ»: Блокировка Wi-Fi и Bluetooth-модулей. Компонент: DeviceController
УПД.15. Регламентация и контроль использования в информационной системе мобильных технических средств.
Применение «СёрчИнформ КИБ»: Блокировка доступа мобильных устройств и носителей информации. Компонент: DeviceController
Усиление УПД.15 п. 1. Обеспечивается запрет использования в информационной системе съемных машинных носителей информации, не входящих в ее состав.
Применение «СёрчИнформ КИБ»: Создание белых списков USB-устройств и последующая блокировка неучтенных. Компонент: DeviceController
Применение «СёрчИнформ КИБ»: Создание белых списков USB-устройств и последующая блокировка неучтенных. Компонент: DeviceController
Применение «СёрчИнформ КИБ»: Создание белых списков USB-устройств и последующая блокировка неучтенных. Компонент: DeviceController
МЕРЫ: ОПС
III. Ограничение программной среды (ОПС)
ОПС.3. Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов.
Применение «СёрчИнформ КИБ»: Периодический контроль установленного ПО для проверки соответствия перечням разрешенного/запрещенного к установке. Компонент: ReportCenter
МЕРЫ: ЗНИ
IV. Защита машинных носителей информации (ЗНИ)
ЗНИ.1. Учет машинных носителей информации.
Применение «СёрчИнформ КИБ»: Требование закрывается с помощью «СёрчИнформ КИБ», если прописать организационно-разрешительной документации в том числе ведение журналов учета в электронном виде. Компонент: DeviceController, ReportCenter
ЗНИ.5. Контроль использования интерфейсов ввода (вывода) информации на машинные носители информации. Применение «СёрчИнформ КИБ»: Блокировка «запрещенных» интерфейсов: Bluetooth, модемы, ИК-порт, Wi-Fi. Компонент: DeviceController
Усиление ЗНИ.5 п. 1. Регистрация использования интерфейсов ввода (вывода) в соответствии с РСБ.3.
ЗНИ.7. Контроль подключения машинных носителей информации.
Применение «СёрчИнформ КИБ»: Настройка разрешенных/запрещенных устройств и пользователей. Компонент: DeviceController
Усиление ЗНИ.7 п. 1. Обеспечение контроля подключения машинных носителей информации с использованием средств контроля подключения съемных носителей информации.
Применение «СёрчИнформ КИБ»: Настройка разрешенных/запрещенных устройств и пользователей. Компонент: DeviceController
Усиление ЗНИ.7 п. 2. Запрет подключения к информационной системе носителей пользователями, не имеющими полномочий на подключение носителей.
Применение «СёрчИнформ КИБ»: Настройка разрешенных/запрещенных устройств и пользователей. Компонент: DeviceController
МЕРЫ: РСБ
V. Регистрация событий безопасности (РСБ)
РСБ.1. Определение событий безопасности, подлежащих регистрации, и сроков их хранения.
РСБ.8. Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системе.
Применение «СёрчИнформ КИБ»: Базовый функционал DLP-системы. Компонент: Все модули
МЕРЫ: АНЗ
VIII. Контроль (анализ) защищенности информации (АНЗ)
АНЗ.2. Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации.
Применение «СёрчИнформ КИБ»: Контроль процесса установки ПО, выявление узлов с не установленным ПО. Компонент: ReportCenter
АНЗ.3. Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации.
Применение «СёрчИнформ КИБ»: Выявление отключения на компьютере запущенных процессов, например, антивируса. Компонент: MonitorController, ProgramController
Усиление АНЗ.3 п. 1. Должна обеспечиваться регистрация событий и оповещение администратора безопасности о событиях, связанных с нарушением работоспособности и параметров настройки программного обеспечения и средств защиты.
Применение «СёрчИнформ КИБ»: Выявление отключения на компьютере запущенных процессов, например, антивируса. Компонент: MonitorController, AlertCenter
АНЗ.4. Контроль состава технических средств, программного обеспечения и средств защиты информации.
Применение «СёрчИнформ КИБ»: Базовый функционал DLP-системы. Компонент: ReportCenter
Усиление АНЗ.4 п. 1. Должна обеспечиваться регистрация событий безопасности, связанных с изменением состава технических средств, программного обеспечения и средств защиты информации.
Применение «СёрчИнформ КИБ»: Базовый функционал DLP-системы. Компонент: ReportCenter
Применение «СёрчИнформ КИБ»: Базовый функционал DLP-системы. Компонент: ReportCenter
АНЗ.5. Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе.
Применение «СёрчИнформ КИБ»: Базовый функционал DLP-системы. Компонент: ADSniffer (функции модуля перенесены в «СёрчИнформ SIEM»)
МЕРЫ: ОЦЛ
IX. Обеспечение целостности информационной системы и информации (ОЦЛ)
ОЦЛ.5. Контроль содержания информации, передаваемой из информационной системы: контейнерный, основанный на свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов. Исключение неправомерной передачи информации из информационной системы.
Применение «СёрчИнформ КИБ»: Базовый функционал DLP-системы. Компонент: Все компоненты
Усиление ОЦЛ.5 п. 1. Должно осуществляться хранение всей передаваемой информации и (или) информации с недопустимым к передаче из информационной системы содержанием, в течение времени, определяемого оператором.
Применение «СёрчИнформ КИБ»: Базовый функционал DLP-системы. Компонент: Все компоненты
Усиление ОЦЛ.5 п. 1. Должна осуществляться блокировка передачи из информационной системы информации с недопустимым содержанием.
Применение «СёрчИнформ КИБ»: Блокировка записи по типу файла. Компонент: MailController, DeviceController
МЕРЫ: ОДТ
X. Обеспечение доступности информации (ОДТ)
ОДТ.4. Периодическое резервное копирование информации на резервные машинные носители информации.
Применение «СёрчИнформ КИБ»: Резервная копия электронной почты. Сохранение целых документов при индексации рабочих станций (в том числе – индексации файловых серверов). Компонент: MailController, Индексация рабочих станций
ОДТ.5. Обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в течение установленного временного интервала.
Применение «СёрчИнформ КИБ»: Резервная копия электронной почты. Сохранение целых документов при индексации рабочих станций (в том числе – индексации файловых серверов). Компонент: MailController, Индексация рабочих станций
МЕРЫ: ЗИС (часть 1)
XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)
ЗИС.8. Контроль санкционированного и исключение несанкционированного использования технологий передачи речи, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи.
Применение «СёрчИнформ КИБ»: Контроль Skype. Исключение несанкционированного использования процессов (например, Skype) через DeviceController. Компонент: SkypeController, DeviceController
ЗИС.9. Контроль санкционированной и исключение несанкционированной передачи видеоинформации, в том числе регистрация событий, связанных с передачей видеоинформации, их анализ и реагирование на нарушения, связанные с передачей видеоинформации.
Применение «СёрчИнформ КИБ»: Контроль Skype. Исключение несанкционированного использования процессов (например, Skype) через DeviceController. Компонент: SkypeController, DeviceController
ЗИС.12. Исключение возможности отрицания пользователем факта отправки информации другому пользователю.
Применение «СёрчИнформ КИБ»: Подтверждение отправки электронного письма от конкретного пользователя и компьютера. Контроль действий пользователей на файлообменных серверах. Подтверждение активности пользователя в указанный момент времени. Компонент: MailController, FileAuditor, DeviceController, MonitorController
ЗИС.13. Исключение возможности отрицания пользователем факта получения информации от другого пользователя.
Применение «СёрчИнформ КИБ»: Подтверждение открытия пользователем файла с сервера. Подтверждение активности пользователя в указанный момент времени. Компонент: FileAuditor, MonitorController
ЗИС.16. Выявление, анализ и блокирование в информационной системе скрытых каналов передачи информации в обход реализованных мер защиты информации или внутри разрешенных сетевых протоколов.
Применение «СёрчИнформ КИБ»: Выявление использования несанкционированных сетевых ресурсов. Выявление подозрительных обменов по HTTP. Компонент: DeviceController, HTTPController
МЕРЫ: ЗИС (часть 2)
XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)
ЗИС.20. Защита беспроводных соединений, применяемых в информационной системе.
Применение «СёрчИнформ КИБ»: Блокировка, в том числе частичная по пользователям и интерфейсам, беспроводных соединений и регистрация использования беспроводных соединений. Компонент: DeviceController
Усиление ЗИС.20 п. 2. Должны применяться программно-технические средства обнаружения, анализа и блокирования несанкционированного использования беспроводных технологий и подключений.
Применение «СёрчИнформ КИБ»: Блокировка, в том числе частичная по пользователям и интерфейсам, беспроводных соединений и регистрация использования беспроводных соединений. Компонент: DeviceController, AlertCenter
Усиление ЗИС.20 п. 3. Должно обеспечиваться блокирование несанкционированных беспроводных подключений.
Применение «СёрчИнформ КИБ»: Блокировка, в том числе частичная по пользователям и интерфейсам, беспроводных соединений и регистрация использования беспроводных соединений. Компонент: DeviceController
МЕРЫ: ИНЦ/УКФ
XIV. Выявление инцидентов и реагирование на них (ИНЦ)
ИНЦ.2. Обнаружение, идентификация и регистрация инцидентов.
Применение «СёрчИнформ КИБ»: Базовый функционал DLP-системы. Компонент: Все компоненты
ИНЦ.3. Своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями и администраторами.
Применение «СёрчИнформ КИБ»: Базовый функционал DLP-системы. Компонент: AlertCenter
ИНЦ.4. Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий.
Применение «СёрчИнформ КИБ»: Базовый функционал DLP-системы. Компонент: Все компоненты
XV. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ)
УКФ.2. Управление изменениями конфигурации информационной системы и системы защиты персональных данных.
Применение «СёрчИнформ КИБ»: В части изменений AD. Компонент: ADSniffer (функции модуля перенесены в «СёрчИнформ SIEM»)
УКФ.4. Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных.
Применение «СёрчИнформ КИБ»: В части изменений AD. Компонент: ADSniffer (функции модуля перенесены в «СёрчИнформ SIEM»)
ПРАКТИКА
Контроль неучтенных сетевых хранилищ
Задача: Выявить и заблокировать несанкционированные сетевые файловые обмены через сетевые «шары» и диски в ЛВС.
Решение:
Утечка нетекстовых файлов
Модуль оповещения для сторонних продуктов
Задача: оперативно информировать администратора безопасности об изменении ключевых параметров безопасности на компьютерах пользователей, например:
Решение: использовать «СёрчИнформ КИБ» в связке с другими решениями.
Реализация:
ПОПРОБУЙТЕ «СЁРЧИНФОРМ КИБ»!
Полнофункциональное ПО без ограничений по пользователям и функциональности.
