Утечки не пройдут. Основные обновления DLP-системы InfoWatch за начало 2023 года

В январе-феврале 2023 года компания InfoWatch выпустила обновление DLP-системы Traffic Monitor и всех ее функциональных модулей: InfoWatch Data Discovery, InfoWatch Prediction, InfoWatch Vision, InfoWatch Activity Monitor. На данный момент эти инструменты в связке закрывают все потребности компании в части защиты от утечек данных и предупреждения нежелательной активности персонала. Вместе с экспертом InfoWatch разбираемся в новых возможностях продуктов вендора.

2022 год оказался очень сложным для российских компаний с точки зрения утечек данных и киберугроз в целом. По данным экспертно-аналитического центра InfoWatch, за 2022 год по всем отраслям было зафиксировано вдвое больше утечек, чем за предыдущий. Основной причиной данных инцидентов (51% случаев) по-прежнему остаются умышленные действия внутренних нарушителей-инсайдеров.

 

 

К современным тенденциям, влияющим на рынок ИБ, эксперты InfoWatch относят массовое ускоренное замещение иностранного ПО и продолжающийся дефицит специалистов ИБ на фоне роста спроса на них. Так, по оценке АРПП, уровень импортозамещения (доля российских программных решений в общем объеме закупок) в России возрос с 35% в 2021 году до 53% в 2022.

«Очевидно что процесс замещения средств ИБ заказчиками напрямую влияет на отечественных разработчиков этих решений. К ним предъявляются требования к совместимости этих решений, к обеспечению требуемого уровня защищенности в условиях глобальных изменений. Все это приводит к тому что вендорам средств информационной безопасности требуется быстро адаптировать решения под изменяющиеся ИТ-ландшафты заказчиков», – делает вывод директор департамента развития продуктов InfoWatch Рустам Фаррахов.

 

 

Дефицит специалистов ИБ, в свою очередь, формирует определенные ожидания рынка от решений информационной безопасности: системы защиты должны становиться более «умными», автоматизированными и эффективными, чтобы обеспечить требуемый уровень защиты без необходимости расширения штата специалистов или повышения их квалификации.

В соответствии с этими запросами InfoWatch дорабатывает DLP-систему Traffic Monitor и отдельные функциональные модули.

InfoWatch Traffic Monitor

DLP-система InfoWatch Traffic Monitor – основа для защиты организации от утечек конфиденциальных данных, которая обеспечивает контроль всех каналов корпоративных коммуникаций и возможность контентного анализа данных самых разных форматов: не только текстовых, но и графических.

Одним из ключевых новшеств в новой версии системы является функция перехвата передачи файла через браузер на определенный веб-ресурс: на любые облачные хранилища и любые веб-версии мессенджеров. Для ее запуска достаточно указать адрес ресурса. Перехват не зависит от протокола передачи данных и особенностей реализации ресурса, так как работает на уровне веб-браузера. Таким образом, это универсальный перехватчик для любых файлообменников или мессенджеров – в случае их запуска в браузере.

 

 

Следующее обновление – появление возможности более точной и тонкой настройки детектирования объекта защиты: нарушение фиксируется только тогда, когда условия политики безопасности по нескольким объектам выполняются в одном элементе защиты. Например, если во вложении электронного письма есть изображение печати (первый объект защиты), а в теле письма находится текст, или приложен скан договора (второй объект), детектирования инцидента не произойдет. Если же и печать, и текст договора содержатся в одном элементе (файле), Traffic Monitor определит это как нарушение.

Более тонкая и эффективная настройка затрагивает и возможность указания исключений в политике безопасности, что позволяет снизить уровень ложноположительных срабатываний и повысить эффективность системы DLP. Исключениями могут быть определенные слова, образцы документов, банковская карта с определенным номером или именем держателя и другие объекты.

InfoWatch Prediction

InfoWatch Prediction – это UBA-система (User Behavioral Analytics), инструмент для анализа поведения сотрудника и прогнозирования рисков, то есть вероятности наступления некоего события. Модуль оперирует большим объемом данных, которые собирают DLP и система мониторинга активности сотрудников Activity Monitor. Prediction анализирует эти данные по более чем 230 параметрам, выстраивает тренды (нормы поведения сотрудника и группы сотрудников) и может выявлять отклонение от типичного поведения. Например, если сотрудник ведет себя иначе, чем группа, в которую он входит (или иначе, чем он сам и его коллеги вели себя раньше), по нему вырастают показатели риска.

 

 

В InfoWatch Prediction сегодня реализованы шесть групп риска: аномальный вывод информации, подготовка к увольнению, нетипичные коммуникации, снижение производительности, отклонение от бизнес-процессов и нелояльные сотрудники.

Из новшеств последней версии системы стоит выделить email-уведомления, поступающие офицеру безопасности, об изменении уровня риска по конкретному сотруднику для более оперативного реагирования. Кроме того расширилась группа рисков, в ней стал учитываться такой паттерн, как использование нетипичного для сотрудника ПО. То есть если сотрудник начал применять на рабочей машине не типичное для его обязанностей приложение, он может попасть в группу риска.

InfoWatch Vision

InfoWatch Vision – это BI-система, которая позволяет быстро анализировать большой массив данных, повышая тем самым скорость и качество принятых офицером безопасности решений. Продукт используется как основной дашборд в работе с DLP – для визуализации и построения графических отображений аналитики Big Data, а также для детализации информации путем использования большого количества фильтров и поиска конкретных событий по множеству критериев. Кроме того Vision позволяет разобрать неразмеченные события, тем самым выявляя необходимость актуализации политик DLP.

 

 

Инструменты Vision – это сводная статистика по событиям, динамический граф связей, по которому можно отследить всех субъектов коммуникаций (как сотрудники общаются между собой и взаимодействуют с различными ресурсами), и досье сотрудников.

В обновленном Vision стал информативнее граф связей: теперь по нему можно отследить последовательность передачи документа от одного участника к другому, от другого к третьему и так далее. При проведении расследования это позволит понять, как конфиденциальные данные попали тем или иным лицам, что послужило первоисточником. Кроме того в Vision стал удобнее список событий. Теперь можно просматривать содержимое сообщений без перехода из Vision в Traffic Monitor. Появился новый инструмент, полезный для руководителя службы информационной безопасности, – виджет нагрузки сотрудников службы ИБ по работе с событиями.

InfoWatch Activity Monitor

Модуль Activity Monitor предназначен для мониторинга действий сотрудников. Он позволяет собрать данные о рабочем дне каждого работника, распределении его времени по различным приложениям и веб-ресурсам, по рабочей и нерабочей активности, строить на их основе глубокие аналитические срезы.

Аномальное поведение конкретного сотрудника, группы сотрудников или всего штата компании часто является признаком угрозы. DLP-система автоматически «подсвечивает» потенциальное нарушение и обозначает круг задействованных в нем лиц – для того, чтобы офицер ИБ обратил на них внимание, проверил правомерность их действий и степень причастности к инциденту, грамотно квалифицировал эти действия и при необходимости собрал доказательства. На подозрительных сотрудников так же может указать смежный отдел компании – например, экономической безопасности. DLP-система делает возможным детальный мониторинг людей, находящихся «на особом контроле».

 

 

Для аналитики Activity Monitor использует информацию из разных источников: данные, которые собираются непосредственно на рабочей станции сотрудника, а также данные из внешних источников и систем, например СКУД. Это позволяет максимально обогатить информацию из DLP, которой оперирует офицер безопасности. Модуль включает в себя специализированные функции – такие, как снимки экранов и возможность прослушать звук, записанный с микрофона.

Обновленный модуль как раз и получил возможность записывать звук с микрофона по заданному триггеру – например, таким триггером может служить запуск сотрудником в браузере приложения Zoom. Каждый раз после запуска этого ресурса включается аудиозапись. В результате у офицера безопасности появляется возможность найти и прослушать в архиве конкретную запись, которая может содержать ценные сведения. Есть также дополнительные инструменты для работы с аудиоархивом: возможность поставить тег на запись, выделить важные участки разговора.

Функция получения данных из СКУД также появилась в последней версии Activity Monitor и имеет целый ряд сценариев применения. Например если произошла разблокировка компьютера, но до этого СКУД не зафиксировала входа пользователя этой машины в офис, это может свидетельствовать о том что разблокировка произведена посторонним лицом.

InfoWatch Data Discovery

InfoWatch Data Discovery это DCAP-модуль (Data-Centric Audit and Protection), который сканирует те ресурсы внутри сети, к которым есть доступ у конкретного сотрудника, с целью поиска всех хранимых на этих ресурсах документов в неструктурированном виде (то есть в виде файлов). Инструмент решает задачу инвентаризации (возникает понимание, какие данные где хранятся), помогает выявлять нарушения, связанные с хранением данных и с предоставлением доступа, находить копии документов или конкретный документ.

 

 

В последней версии Data Discovery получил новые функциональные возможности. Теперь сканировать ресурсы можно гибко – единоразово, а не только регулярно. Регулярное фоновое сканирование, постоянное обновление информации о файлах нужно далеко не всем компаниям.

Удобнее стало добавлять хосты, так как появилась возможность импортировать список компьютеров из Active Directory. Также в Data Discovery стало доступно сканирование SharePoint так же, как обычного файлового хранилища: выявление документов, сбор по ним метаданных и их анализ.

Преимущества DLP-системы InfoWatch

«Офицеру безопасности необходимо иметь под рукой современные инструменты, которые позволяют своевременно выявлять инциденты, оценивать риски и реагировать на них, предпринимать меры по предотвращению утечек. Ему важно также получать от системы DLP информацию, достаточную для того, чтобы эффективно оценивать возможные угрозы и принимать решения. Программные продукты InfoWatch закрывают все потребности наших заказчиков в части защиты от утечек. InfoWatch Prediction позволяет вовремя выявить риски, InfoWatch Data Discovery предотвращает нарушения в хранении данных и предоставлении прав доступа, InfoWatch Vision как BI-инструмент дает возможность анализировать большие массивы данных, Activity Monitor дает полную картину действий сотрудников. А Traffic Monitor как надежная DLP-система, лежащая в основе всего этого набора инструментов, дает возможность эффективно мониторить каналы передачи данных и предотвращать утечки конфиденциальной информации», – резюмирует Рустам Фаррахов.

Например, в недавнем ИТ-классе мы рассказывали о том, как DLP от InfoWatch предотвращает риски при увольнении сотрудника.

 

 

Другими преимуществами DLP-системы InfoWatch являются следование концепции импортонезависимости и широкие интеграционные возможности.

Достижение технологического суверенитета – ключевой тренд на российском ИТ-рынке в 2022-23 годах, который затрагивает всех разработчиков отечественного софта. InfoWatch соответствует этому тренду, развивая функциональность своих решений в направлении их совместимости с российскими сертифицированными Linux-дистрибутивами. Например, агент системы Traffic Monitor поддерживает работу на операционных системах РЕД ОС, Astra Linux, ALT Linux. Серверные компоненты DLP так же могут быть установлены на сертифицированные российские операционные системы. Кроме того поддерживается синхронизация Traffic Monitor с LDAP-каталогами ALD Pro, Samba DC, FreeIPA, возможность использования СУБД Postgres Pro и PostgreSQL.

 

 

«Все это в совокупности дает нашим заказчикам возможность построить систему ИБ, используя Traffic Monitor в полностью импортонезависимой инфраструктуре, что на сегодняшний день является актуальной задачей для многих компаний», – поясняет Рустам Фаррахов.

Интеграционные возможности DLP-системы InfoWatch распространяются на другие классы решений ИБ и на бизнес-приложения. Например, для получения новых сценариев использования и решения определенных задач информационной безопасности доступна настройка обмена данными между Traffic Monitor и инструментами SOAR (Security Orchestration Automation and Response) и SIEM (Security Information and Event Management). Такая связка расширяет возможности офицера безопасности по мониторингу и реагированию на инциденты.

 

 

Взаимодействие DLP с бизнес-приложениями сегодня крайне актуальна по причине того, что перед многими организациями стоят задачи по внедрению отечественного прикладного софта: инструментов совместной работы, мессенджеров, почтовых сервисов и т. д. Traffic Monitor, оснащенный мощным API, позволяет реализовать разнообразные сценарии интеграции: например, внедрить DLP в корпоративный мессенджер, чтобы DLP выступала «центром принятия решений» и  выдавала вердикты по сообщениям и передаваемым файлам. Такое сочетание образует надежную схему работы по детектированию и блокировке передачи конфиденциальных данных через этот мессенджер.

Автор: Андрей Блинов.

Тематики: Безопасность

Ключевые слова: информационная безопасность, InfoWatch, DLP