Solar dozor dlp руководство

1. Введение
2. Модуль Dozor UBA: новые возможности
   1. 2.1. Работа модуля в территориально распределённых организациях
   2. 2.2. Отчёты с данными о поведении персон
3. Модуль Dozor File Crawler: новые возможности
   1. 3.1. Работа модуля в территориально распределённых организациях
   2. 3.2. Контроль Cisco WebEx Teams
      1. 3.2.1. Поиск WebEx-сообщений
      2. 3.2.2. Просмотр WebEx-сообщений и истории их изменения
      3. 3.2.3. Просмотр статистики по WebEx-сообщениям
      4. 3.2.4. Применение в правилах политики безопасности
4. Совместное использование поисковых запросов
5. Трансляция видео с экрана рабочей станции
6. Модуль Endpoint Agent: новые возможности
   1. 6.1. Новый Dozor Endpoint Agent для macOS
      1. 6.1.1. Перехват сетевых протоколов HTTP / HTTPS
      2. 6.1.2. Перехват сетевых протоколов SMTP, POP3, IMAP
      3. 6.1.3. Контроль переписки в мессенджере WhatsApp
      4. 6.1.4. Контроль переписки в мессенджере Skype
   2. 6.2. Политика и параметры перехвата для комплексной проверки банковских карт на агенте для конечных точек
   3. 6.3. Считывание структуры внешнего носителя
   4. 6.4. Блокировка передачи защищённых паролем / повреждённых архивов
   5. 6.5. Мгновенная деактивация агентов для конечных точек
7. Выводы

Введение

С выходом версии Solar Dozor 7.2 для территориально распределённых организаций в мае 2020 года возникла необходимость модернизации и доработки модулей анализа поведения пользователей (Dozor UBA) и инспектирования файловых хранилищ (Dozor File Crawler), что и было реализовано в новой версии 7.5. Кроме того, в системе появилась функция онлайн-трансляции экрана рабочей станции, востребованная заказчиками для сбора доказательной базы при проведении расследований. Новую версию также отличает большое количество нововведений, реализованных в модуле Dozor Endpoint Agent. Так, агентский модуль научился считывать структуру каталогов и файлов со внешнего подключённого носителя — это помогает выявить признаки наличия там конфиденциальных документов. Также в Dozor Endpoint Agent появилась комплексная проверка банковских карт, которая ранее осуществлялась лишь на уровне ядра DLP-системы. Это снижает количество ложноположительных срабатываний и уменьшает нагрузку на инфраструктуру заказчика. Дополнительно модуль агентского перехвата Dozor Endpoint Agent обрёл функциональность по блокировке передачи зашифрованных и повреждённых архивов, а также мгновенному выключению агентов в экстренных случаях.

Модуль Dozor UBA: новые возможности

Главной задачей модуля анализа поведения пользователей Dozor UBA является профилактика угроз информационной безопасности. Модуль позволяет выявить признаки зарождающихся инцидентов (чего не могут сделать классические DLP-инструменты) благодаря построению профилей поведения каждого сотрудника на основе его внешних и внутренних коммуникаций, взаимодействия с коллегами из других подразделений, объёма полученной и отправленной информации и т. д.

Система анализирует поведение сотрудников по двум направлениям одновременно. С одной стороны, она осуществляет наблюдение за каждым работником по набору приведённых выше показателей, которые измеряются с высокой частотой и с учётом персональных особенностей поведения, делового контекста, роли в коллективе и ряда других факторов. Накопленной в течение 2-х месяцев истории активности пользователя достаточно для того, чтобы определить его устойчивое поведение и начать детектировать в нём аномалии.

С другой стороны, модуль Dozor UBA определяет наиболее уязвимые с точки зрения бизнеса группы сотрудников и работников с подозрительным поведением, относя их к различным паттернам поведения (комбинациям поведенческих особенностей и аномалий). На данный момент в системе насчитывается 20 паттернов, среди которых, например, «мёртвые души», «работа ночью», «работа в выходные» и т. п.

Работа модуля в территориально распределённых организациях

В предыдущих версиях DLP-системы возможность использовать Dozor UBA в территориально-распределённой конфигурации и работать отдельно с филиалом, ДЗО или департаментом отсутствовала. Однако оценивать и сравнивать поведение пользователей по всей крупной мультифилиальной компании не вполне корректно, так как для каждой территориальной единицы могут быть характерны свои особенности поведения пользователей, которые для одного филиала будут являться нормой, а для другого — аномалией.

В новой версии, с одной стороны, все установки модуля Dozor UBA в каждом филиале объединены в связанную систему, что позволяет получить полный срез данных о поведении сотрудников по всей организации. С другой стороны, через единый веб-интерфейс Solar Dozor можно выбрать любое территориальное подразделение и перейти к сводной статистике и детализации не только по конкретному филиалу, но и по любому его пользователю.

Рисунок 1. Выбор организационной единицы для анализа в Solar Dozor 7.5

В карточке персоны на вкладке «Особые контакты» также имеется возможность выбирать организационную единицу и мониторить контакты сотрудника с работниками других филиалов или ДЗО.

Рисунок 2. Выбор филиалов для мониторинга контактов сотрудника в Solar Dozor 7.5

Дополнительно в Solar Dozor появилась возможность назначения часового пояса для каждой организационной единицы. Это позволяет получить корректные расчёты показателей паттернов поведения «Работа ночью» и «Работа в выходные дни», а также верно оценить суточную активность в разрезе времени суток (утро, день, вечер, ночь).

Рисунок 3. Мониторинг филиалов с учётом часового пояса в Solar Dozor 7.5

Отчёты с данными о поведении персон

В Solar Dozor 7.5 появилась возможность получить сведения обо всех действиях сотрудников в виде отчёта для печати или сохранения в файл.

Можно получить:

• отчёт содержащий сведения о поведении выбранных персон по определённому паттерну поведения. Туда попадает сводная информация о паттерне, список соответствующих персон и показатели поведения каждой персоны: особые контакты, количество событий, количество аномалий, индекс уязвимости;
• отчёт с данными о поведении конкретной персоны за 45 дней. В нём указываются общие сведения и контакты персоны, информация о стаже и руководителе и история поведенческих особенностей:
  • динамика индекса уязвимости и все аномалии;
  • динамика внутренней / внешней активности;
  • динамика отправки и получения информационных объектов;
  • динамика популярности;

Рисунок 4. Получение отчёта о поведении персон по паттерну в Solar Dozor 7.5

Рисунок 5. Раздел «Досье», карточка персоны: получение отчёта о поведении персоны в Solar Dozor 7.5

Модуль Dozor File Crawler: новые возможности

Модуль Dozor File Crawler предназначен для проверки содержимого файловых хранилищ (общедоступных сервисов обмена файлами и локальных жёстких дисков рабочих станций) для выявления нарушений правил хранения конфиденциальной информации. Модуль основан на принципе централизованной обработки данных, то есть аккумулирует результаты своей работы не на отдельных рабочих станциях, а в единой точке сети и предоставляет пользователю целостную картину всех сегментов корпоративной сети.

Работа модуля в территориально распределённых организациях

В предыдущих версиях DLP-системы задачи модуля Dozor File Crawler запускались на узлах распределённой сети без привязки к конкретному филиалу, что было неудобно для крупных территориально распределённых организаций. Было сложно управлять задачами модуля и использовать карту сети: для запуска каждой задачи нужно было указать конкретный узел, а данные о проверке всех узлов сети образовывали одну огромную карту, в которой было сложно ориентироваться. Также отсутствовало разграничение доступа к задачам сканирования и веткам карты сети для специалистов разных филиалов.

В Solar Dozor 7.5 принцип работы модуля проверки файловых хранилищ выстроен с учётом наличия в организации самостоятельных филиалов и ДЗО. Каждая запускаемая задача автоматически привязывается к конкретной территориальной единице и использует её ресурсы. Карта сети строится в разрезе отдельно сканируемого филиала или ДЗО. Благодаря этому появилась возможность разграничивать доступ для работающих с системой специалистов по информационной безопасности в зависимости от их принадлежности к тому или иному филиалу.

Доступные для Dozor File Crawler объекты сканирования в режиме MultiDozor:

• Файловые ресурсы (CIFS / SMB) — ранее «smb».
• Почтовый сервер (IMAP) — ранее «IMAP».
• Локальная сеть (nmap) — ранее «Сканирование сети».
• Облачное хранилище — ранее «Cloud».

Архитектурная реализация Dozor File Crawler при наличии филиальной структуры представляет собой несколько узлов, количество которых конфигурируется в зависимости от инфраструктуры заказчика.

Рисунок 6. Пример набора узлов для сканирования в Solar Dozor 7.5

Контроль Cisco WebEx Teams

В Solar Dozor версии 7.5 появилась возможность контролировать ещё один канал обмена информацией — корпоративный мессенджер Cisco WebEx Teams. Теперь с помощью функциональности модуля Dozor File Crawler можно настроить систему так, что все сообщения и файлы, отправленные сотрудниками в личных или общих чатах Cisco WebEx Teams, будут поступать в Solar Dozor и проходить проверку по условиям политики безопасности организации.

Можно получить историю WebEx-сообщений, отправленных сотрудниками организации даже до того, как в ней был установлен Solar Dozor 7.5. При этом учитываются ограничения мессенджера: по умолчанию WebEx хранит историю сообщений за 90 дней, при наличии пакета WebEx Control Hub сохраняется вся история с момента установки мессенджера. Соответственно, можно получить либо историю за конкретный период (максимум 90 дней), либо всю.

Рисунок 7. Раздел «Система», настройки получения истории сообщений Cisco WebEx Teams в Solar Dozor 7.5

Далее офицер безопасности может:

• быстро найти и просмотреть WebEx-переписку;
• просмотреть историю изменений (отредактировано / удалено) конкретного WebEx-сообщения, включая его исходный текст;
• просмотреть статистику по WebEx-сообщениям;
• настроить политику безопасности с учётом новых возможностей.

Поиск WebEx-сообщений

При проведении расследования офицеру безопасности может потребоваться быстро найти сообщения и / или файлы, переданные с помощью Cisco WebEx Teams. Для этого в разделе интерфейса «Поиск» → «Быстрый поиск» в критериях поиска достаточно указать приложение Cisco WebEx Teams.

Рисунок 8. Поиск сообщений, переданных с помощью Сisco WebEx Teams, в Solar Dozor 7.5

Просмотр WebEx-сообщений и истории их изменения

Перейдя в карточку заинтересовавшего его WebEx-сообщения и воспользовавшись поиском по специальному заголовку «x-agent-message-id», офицер безопасности может просмотреть:

• историю операций с сообщением (редактирование / удаление),
• исходный текст сообщения.

То есть даже если отправленное в WebEx сообщение было позже отредактировано или удалено, офицер безопасности сможет увидеть его изначальный текст. Таким образом можно выявить не только само нарушение, но и попытки его скрыть.

Рисунок 9. Карточка сообщения, вкладка «Заголовки» в Solar Dozor 7.5

Рисунок 10. Результаты поиска сообщений по заголовку «x-agent-message-id» в Solar Dozor 7.5: сотрудник сначала отправил WebEx-сообщение, затем отредактировал его, а потом удалил

Кроме того, как и в случае с сообщениями из других контролируемых Solar Dozor мессенджеров (Telegram, Skype), переписку в Cisco WebEx Teams можно просмотреть в виде беседы. Это позволяет наглядно ознакомиться с хронологией переписки.

Рисунок 11. Раздел «Поиск», отображение переписки в Cisco WebEx Teams в виде беседы в Solar Dozor 7.5

Также в беседе можно по хронологии переписки узнать дату и время, когда участник присоединился к групповому чату или покинул его. В случае если сотрудник-нарушитель будет отрицать факт своего участия в групповом чате, где произошёл инцидент, эта информация поможет офицеру безопасности без труда найти доказательства такого участия.

Рисунок 12. Данные о времени присоединения сотрудника к чату в Solar Dozor 7.5

Рисунок 13. Данные о выходе сотрудника из чата в Solar Dozor 7.5

Просмотр статистики по WebEx-сообщениям

Офицер безопасности может просмотреть статистику по отправленным в WebEx сообщениям и файлам: система отображает количество сообщений / файлов за всё время или за последние 24 часа. Можно также быстро перейти к списку этих сообщений и файлов.

Рисунок 14. Статистика сообщений, отправленных сотрудниками в Cisco WebEx Teams, в Solar Dozor 7.5

Рисунок 15. Быстрый переход к списку WebEx-файлов, отправленных сотрудниками за последние 24 часа, в Solar Dozor 7.5

Применение в правилах политики безопасности

Офицер безопасности может настроить систему так, чтобы сообщения и файлы, отправленные сотрудниками в Cisco WebEx Teams, проходили проверку на соответствие правилам политики безопасности организации.

Допустим, необходимо проверять переписку в WebEx на наличие паспортных данных в текстах сообщений и файлов. При обнаружении таких данных система должна регистрировать соответствующее событие. Последовательность реализации такой политики в Solar Dozor 7.5 приведена на трёх рисунках ниже.

Рисунок 16. Условие для обнаружения сообщений, отправленных в WebEx, в Solar Dozor 7.5

Рисунок 17. Дополнительное правило для информационного объекта «Паспорт РФ» в Solar Dozor 7.5

Рисунок 18. Дополнительное правило для ИО «Изображение паспорта» в Solar Dozor 7.5

В дополнительных правилах, действующих для информационных объектов (ИО) «Паспорт РФ» и «Изображение паспорта», используется условие «Сообщение в Webex». В результате система ищет указанные ИО в WebEx-переписке.

Таким образом, если сотрудник отправит в WebEx-сообщении паспортные данные, включая фотографию паспорта, система зафиксирует этот факт в событии по ИБ.

Рисунок 19. Карточка сообщения в Solar Dozor 7.5

Рисунок 20. Карточка события в Solar Dozor 7.5

Совместное использование поисковых запросов

В крупных компаниях рутинная работа по сбору данных о событиях и инцидентах в безопасности делегируется младшим специалистам службы ИБ. Solar Dozor 7.5 поддерживает сценарий, согласно которому офицер безопасности может не просто поделиться с другим пользователем системы копией поискового запроса, а предоставлять доступ на выполнение созданных им поисковых запросов. Такие пользователи смогут выполнять запросы, а также просматривать их параметры и результат выполнения. Более гибкая настройка доступа к данным системы для сотрудников младшего звена позволит снизить риск утечки ценных сведений.

Рисунок 21. Ограничение доступа к запросам в Solar Dozor 7.5

Офицер безопасности, создавший и сохранивший запрос (владелец запроса), может предоставлять одному или нескольким пользователям доступ к своему запросу. В этом случае в зависимости от своих полномочий пользователь может:

• при наличии ограниченных прав доступа — выполнять запрос и просматривать его параметры;
• при наличии полных прав доступа — выполнять запрос, просматривать параметры, а также создавать копии этого запроса.

Рисунок 22. Предоставление доступа к запросу одному или нескольким пользователям в Solar Dozor 7.5

Трансляция видео с экрана рабочей станции

Эта функция реализована по многочисленным просьбам как действующих заказчиков Solar Dozor, так и потенциальных пользователей, тестировавших систему. В процессе расследования событий по информационной безопасности с подозрением на инцидент мониторинг экрана рабочей станции является одним из инструментов, который может помочь выявить действия нарушающие правила обращения с конфиденциальной информацией. В предыдущих версиях Solar Dozor такая возможность у служб ИБ отсутствовала. Теперь же можно осуществлять мониторинг прицельно в отношении отдельной персоны.

Трансляция видео доступна из краткой и полной карточек персоны. По умолчанию окно трансляции открывается в формате миниатюры и работу с функциями системы можно продолжать в прежнем режиме. Дополнительно трансляцию можно развернуть на весь экран и адаптировать её под разрешение экрана сотрудника службы информационной безопасности. Эта возможность реализована для рабочих станций под управлением ОС семейств Windows и Linux.

Рисунок 23. Трансляция экрана рабочего стола из полной карточки персоны в Solar Dozor 7.5

Рисунок 24. Трансляция экрана из краткой карточки персоны в Solar Dozor 7.5

Модуль Endpoint Agent: новые возможности

Новый Dozor Endpoint Agent для macOS

В Solar Dozor 7.5 модуль агентского перехвата претерпел самые большие изменения, и, пожалуй, наиболее значимое из них — реализация Dozor Endpoint Agent для рабочих станций под управлением macOS. Рассмотрим подробнее возможности этой реализации.

Перехват сетевых протоколов HTTP / HTTPS

С помощью функциональности перехвата сетевых протоколов HTTP / HTTPS агент для рабочих станций под управлением macOS позволяет контролировать действия пользователей в сети «Интернет», в частности — переписку в веб-почте, поисковые запросы, выгрузку файлов на веб-ресурсы, включая облачные хранилища, общение в социальных сетях, записи в блогах. Для получения сообщений о перехвате данных по протоколам HTTP / HTTPS достаточно установить флажок «Каналы перехвата — HTTP / HTTPS», а для обеспечения полноты перехватываемых данных рекомендуется включать параметр «Отправка данных по ICAP».

По результатам перехвата действий пользователей в сети «Интернет» в интерфейсе Solar Dozor 7.5 отображаются сообщения, содержащие указания на соответствующие каналы коммуникаций: веб-почта, веб-запрос (тема «Search Query:<имя ресурса>»), публикация в интернете. При включённой отправке данных в модуль Traffic Analyzer по протоколу ICAP отображаются тема «Upload File Cloud:<имя ресурса>» и заголовки, значения которых начинаются с «x-sensor».

Рисунок 25. Результаты перехвата выгрузки файла на веб-ресурс (отправка данных по протоколу ICAP включена) в Solar Dozor 7.5

Если данные не передаются для дальнейшей проверки в модуль Traffic Analyzer, в теме сообщения отображается «WebFile».

Рисунок 26. Результаты перехвата выгрузки файла на веб-ресурс (отправка данных по протоколу ICAP отключена) в Solar Dozor 7.5

Перехват сетевых протоколов SMTP, POP3, IMAP

Эта функциональность даёт возможность контролировать входящую и исходящую переписку сотрудников в клиентских приложениях электронной почты. Для получения сообщений о перехвате данных по протоколам SMTP, POP3, IMAP достаточно установить соответствующие флажки в секции «Каналы перехвата».

По результатам перехвата такой переписки сотрудников в интерфейсе Solar Dozor 7.5 также отображаются сообщения, содержащие указания на каналы коммуникаций — «Внутренняя почта», «Исходящая почта» и «Входящая почта».

Рисунок 27. Результаты перехвата входящей почты по протоколу IMAP в Solar Dozor 7.5

Контроль переписки в мессенджере WhatsApp

Новый maсOS-агент позволяет контролировать переписку пользователей как в настольном приложении WhatsApp, так и в его веб-версии. Мониторингу подлежат мгновенные сообщения, голосовые сообщения, передаваемые файлы (изображения, видео, документы и т. п.), пересылаемые сообщения (цитаты), данные отправляемых абоненту контактов.

В интерфейсе Solar Dozor 7.5 сообщения и файлы, отправленные сотрудником, можно просматривать как в виде сообщений (рис. 28), так и в виде бесед (рис. 29).

Рисунок 28. Результаты перехвата приложения WhatsApp: большая карточка сообщения в Solar Dozor 7.5

Рисунок 29. Результаты перехвата приложения WhatsApp в Solar Dozor 7.5: фрагмент беседы

Контроль переписки в мессенджере Skype

Также Dozor Endpoint Agent для macOS осуществляет перехват входящих и исходящих сообщений и файлов в Skype — как в приложении, так и в веб-версии мессенджера. Аналогично перехвату в WhatsApp файлы можно просматривать в виде сообщений или в виде бесед.

Политика и параметры перехвата для комплексной проверки банковских карт на агенте для конечных точек

В предыдущих версиях Solar Dozor на уровне ядра системы осуществлялась комплексная проверка банковских карт. Начиная с версии 7.5 комплексная проверка появилась и в модуле Dozor Endpoint Agent, она задействует два механизма. Первый использует правила политики, содержащие регулярные выражения; второй осуществляет подсчёт контрольной суммы номера банковской карты по алгоритму «Луна» в соответствии со стандартом ISO/IEC 7812.

Реализация комплексной проверки банковских карт на уровне рабочей станции позволила снизить количество ложноположительных срабатываний и, соответственно, уменьшить нагрузку на инфраструктуру заказчика за счёт снижения трафика со стороны агента. Кроме того, это минимизировало объём работы сотрудников службы ИБ при проведении расследований и классификации событий.

Таким образом, теперь Dozor Endpoint Agent осуществляет комплексную проверку номеров банковских карт, которая состоит из:

• проверки на наличие номера карты в тексте,
• проверки контрольных сумм найденных номеров карт (по алгоритму «Луна»).

Найденный в тексте номер считается номером банковской карты, если он удовлетворяет условиям регулярного выражения и прошёл проверку по алгоритму «Луна», то есть контрольная сумма соответствует номеру карты.

Рисунок 30. Solar Dozor 7.5, условие политики с новым атрибутом «Агент: перехват: текст содержит номера банковских карт» и новой операцией сравнения «удовлетворяет рег. выражению с учетом алг. Луна»

Считывание структуры внешнего носителя

Модуль Dozor Endpoint Agent в новой версии Solar Dozor 7.5 умеет считывать структуру каталогов и файлов со внешнего подключённого носителя. Теперь у специалистов по информационной безопасности есть возможность просмотреть не только список внешних USB-устройств, подключаемых сотрудником к своему компьютеру, и информацию об этих устройствах, но и их структуру: названия папок и файлов. Это позволяет установить, какого рода информация присутствует на носителе, и выявить возможные нарушения ИБ: конфиденциальные данные предыдущего работодателя, самой компании и т. п.

В предыдущих версиях Solar Dozor с рабочих станций пользователей на сервер передавалась полная информация обо всех подключённых к станции внешних устройствах (флеш-накопителях, жёстких дисках, веб-камерах, токенах и др.) — идентификатор устройства, производитель, название модели и т. п. Начиная же с версии Solar Dozor 7.5 помимо сведений об устройстве в модуле Dozor Dossier отображаются данные о дереве папок и списке файлов на подключаемых к рабочей станции съёмных носителях информации. В карточке «Досье сотрудника» появились дополнительные возможности фильтрации информации по дате, возможность перехода к поиску файлов, зарегистрированных в системе с таким же именем, а также выбор данных только для заданной организационной единицы при работе системы в режиме MultiDozor.

Рисунок 31.Схема реализации перехватов структуры каталогов и файлов со внешнего носителя в новых версиях Solar Dozor

Рисунок 32. Проверка структуры подключаемых внешних устройств в Solar Dozor 7.5

Помимо поиска по самому устройству (VID, PID, серийный номер) в новой версии появилась возможность искать по названиям файлов, а также проверять их наличие в трафике организации.

Рисунок 33. Поиск на внешнем носителе по названиям файлов в Solar Dozor 7.5

Для получения структуры внешних носителей достаточно установить в настройках Dozor Endpoint Agent флажок «Получение структуры каталогов со съёмными носителями» и установить уровень вложенности каталогов.

Рисунок 34. Получение структуры каталогов со съёмных носителей в Solar Dozor 7.5

Блокировка передачи защищённых паролем / повреждённых архивов

Пересылка конфиденциальной информации в «замаскированном» виде — нередко встречающийся сценарий нарушения ИБ-политики компании. Для этого может использоваться архив, защищённый паролем или умышленно повреждённый с помощью текстового редактора (с целью восстановления после передачи). Модуль Dozor Endpoint Agent в новой версии Solar Dozor 7.5 позволяет заблокировать передачу защищённых паролем или повреждённых архивов и таким образом предотвратить утечку уже на рабочей станции сотрудника. Для этого достаточно создать правило политики, в котором задать условие с атрибутами «Защищённый паролем архив» и / или «Повреждённый архив». Поддерживаются наиболее распространённые форматы архивов: ZIP (.zip), RAR4, RAR5 (.rar), 7-ZIP (.7z), ARJ.

Рисунок 35. Раздел «Политика» в Solar Dozor 7.5: правило блокировки передачи защищённого паролем или повреждённого архива

Мгновенная деактивация агентов для конечных точек

Для повышения удобства использования DLP-системы в новой версии предусмотрен механизм оперативного отключения агентского модуля. Штатный механизм отключения агентского перехвата информации предполагает настройку, т. е. перевод агентов в режим «Без перехвата». Это занимает время, что в экстренных ситуациях может быть весьма значимо.

В новой версии разработан механизм оперативного отключения перехвата — теперь отключить перехват (а также восстановить нормальную работу агентов) можно нажатием одной кнопки в интерфейсе. Это полезно, например, если агент создаёт задержки в работе программ на компьютере сотрудника, и позволит последнему продолжить работу, а администратору системы — детально разобраться в проблеме. При этом все настройки сохраняются и можно быстро вновь активировать агент без повторного конфигурирования.

Рисунок 36. Быстрое отключение агентов для конечных точек в Solar Dozor 7.5

Выводы

Программный комплекс Solar Dozor представлен на рынке с 2001 года и является одной из наиболее зрелых систем класса DLP (Data Leak Prevention). Его отличают не только развитые механизмы защиты конфиденциальной информации от утечек, но и реализованные инструменты выявления признаков корпоративного мошенничества, а также уникальные алгоритмы усовершенствованного анализа поведения пользователей (UBA). В новой версии Solar Dozor 7.5 разработчики системы сфокусировались на реализации технологий UBA и анализа хранения конфиденциальной информации в территориально-распределённом режиме. Кроме того, усиление инструментов контроля конфиденциальных данных — проверки содержимого внешних носителей, блокировки передачи запароленных архивов, дополнительной проверки номеров банковских карт, а также расширение возможностей при расследовании ИБ-инцидентов, гибкая настройка доступа к данным самой DLP-системы — направлены на повышение надёжности защиты конфиденциальной информации и снижение риска её утечки.

Достоинства:

• Эффективный перехват и широкие возможности блокировки утечки с помощью агента непосредственно на рабочем месте практически по всем каналам передачи данных.
• Низкий уровень ложных срабатываний.
• Развитая визуальная аналитика.
• Удобные инструменты для проведения расследований.
• Высокая производительность (выдерживает нагрузки от более чем 400 000 пользователей).
• Эффективная работа в крупных географически распределённых компаниях.

Недостатки:

• Отчёт о поведении персон по паттерну в модуле UBA пока доступен лишь для выгрузки и печати, без опции автоматической отправки на электронную почту.
• Контроль Cisco WebEx Teams осуществляется только при наличии модуля File Crawler.
• Просмотр экрана сотрудника возможен только в режиме онлайн, запись видео будет реализована в следующих версиях.

Время на прочтение
4 мин

Количество просмотров 7.9K

За время работы с Дозором мы видели всякое. Но неизменно одно – при первой встрече система мало кого оставляет равнодушным. Одна группа клиентов встречает демонстрацию словами: «Ну наконец-то! DLP, где всё просто и наглядно!». Однако они ошибаются. Другая чем-то вроде «Да это игрушка какая-то. Для нас будет недостаточно мощным». Но и они ошибаются. Так что же там, за звёздами?

Как и в предыдущей статье, вопросы технических требований, стабильности и полноты контроля оставим за скобками. Зоопарк ПО, масштабы и задачи у всех разные, а DLP – штука тонкой душевной организации. В итоге, про какого вендора на площади ни крикни, первыми прибегут те, у кого «упало», «тормозило», «не смогло». [И так уж совпало, что мы как раз готовы помочь – «поднять», «ускорить» и «оттюнить». Но это уже совсем другая история.]

Вернёмся к тому, что, как и любая информационная система, Dozor старается балансировать между мощью и простотой. Да так, чтобы обе составляющих выкрутить на максимум. Вот только возможно ли это?

Встречает нас простота – дашборд. Всё красиво, наглядно, в картинках. Дашборд руководителя – вообще сказка – тренды по нарушениям, ТОП нарушителей, оценка нагрузки на команду. Но что за этим стоит, откуда весь этот контент?

1. Рабочий стол (дашборд)

2. Рабочий стол руководителя

В основе всего лежит принцип оперирования информационными объектами. И вот он, момент, где функционал вытесняет наглядность. У нас довольно большая команда и после первого знакомства с системой мы потратили кучу времени, слайдов и фломастеров, чтобы понять, что же здесь творится. Если коротко и упрощая, система при помощи политики, состоящей из правил, оперирующих информационными объектами, заданными критериями с возможностью использования шаблонов, создаёт из сообщений события, имеющие возможность стать инцидентами.

3. На каком ты сейчас уровне?

Немного пугает, правда? Хорошая новость – для работы с системой в этом разбираться не обязательно. По крайней мере, всей команде. Найдите/наймите/арендуйте человека, который это всё настроит. Для всех остальных пусть самолётом управляет магия.

4. Схема выявления критичной информации

Самое главное, что из потока информации система создаёт «события» – уведомления о том, что вероятно что-то не в порядке. А дальше снова красота. У события есть красивая карточка, где кратко описано, кто, что и каким способом натворил. Для простоты карточки ранжируются по критичности и типу действий (снова магия). Остаётся внимательно на неё посмотреть и проверить, правильно ли заклинание сработало.

5. События в системе

В один клик отдаём неправильное нашему чародею на «допил», а правильное фиксируем как инцидент. Зафиксировали? Кричим в соседний кабинет: «Коллеги, примите в работу!». А нет, система просит назначить ответственного. Назначаем – самый ответственный получает уведомление. В итоге у каждого события есть статус, а у каждого инцидента – ответственный. Ничего не потеряли. Статусы система учла и считает те самые тренды. Красота.

На что ещё способна эта магия? Прерывать процесс передачи данных, если они классифицированы как информационный объект. Выдавать предупреждения о потенциальном нарушении (по тому же принципу). Приостанавливать почту в карантин (и сразу же уведомлять об этом на дашборде). Модифицировать письма, убирая критичные объекты. Распределять нарушителей в группы особого контроля.

С основной рутиной разобрались. Дальше – заглянуть в прошлое – поиск. И снова нас встречает красота – простой поиск. Привычными движениями «гуглим» информацию в строке поиска. Не хватает? Переходим в режим расширенного поиска. И снова наглядность нас покидает. Множество доступных для поиска атрибутов – хорошо, но попробуйте сходу отличить «отправитель» от «персона» или «источник» или даже «персона-источник». Так ещё логические операции выполняются в не самом очевидном порядке. Сложно. А вот умный поиск хорош – позволяет найти похожие файлы среди всех коммуникаций – всего пара кнопок, а какой простор для творчества.

6. Умный поиск

Досье. Снова красота. Вся информация по персоне так ещё и вся статистика по нарушениям (снова магия информационных объектов). Граф связей в комплекте, правда, ни красотой, ни мощью не отличается.

7. Пример досье

Отчеты. Выбор, конечно, не богат. Но вот «Тепловая карта коммуникаций» – очень полезная штука. Мало кто сходу сможет сказать, в каких подразделениях какая информация обрабатывается. А зачастую сложно даже определить, где какими каналами коммуникаций пользуются. Вот здесь и поможет тепловая карта. Вся активность выбранной группы сотрудников будет распределена по категориям, а дальше делаем выводы: какие действия норма, а какие – аномалия.

8. Тепловая карта

Полезно на старте настройки, пригодится и в дальнейшей работе. Остальные отчеты скорее для возможности передать коллегам/руководству всё то, что мы сами видим в различных разделах системы.

В итоге.

Там, за звёздами, темно и страшно. Возможно, когда-то красота доберётся и туда. А может это и нереально – сделать сложное совсем уж простым. Но пока вглубь системы рекомендуем отправлять туда только специально обученных людей с запасом жизненно необходимых мануалов.

9. Группа настройки

А вот оставшихся на поверхности ждет одна из самых дружелюбных систем.

Николай Постнов, руководитель направления конфигурирования Блока DLP компании Infosecurity a Softline Company.

Основная статья: DLP — Data Loss / Leak Prevention — Технологии предотвращения утечек конфиденциальной информации

Решение Solar Dozor предназначено для контроля коммуникаций сотрудников, выявления ранних признаков корпоративного мошенничества и проведения расследований. Как классическая DLP-система, Solar Dozor решает задачи по мониторингу, фильтрации и анализу каждого сообщения на наличие конфиденциальной информации. Кроме этого, Solar Dozor осуществляет также накопление всей переписки сотрудников, что позволяет проводить в дальнейшем ретроспективный анализ и расследования на всем объеме сохраненных коммуникаций сотрудников.

2023

Solar Dozor 7.9

25 апреля 2023 года компания «Ростелеком-Солар» представила обновленную версию системы предотвращения утечек информации Solar Dozor 7.9. В обновлении появилась возможность создавать иерархию групп рабочих станций, развертывать Linux-агент на рабочих станциях через веб-интерфейс Solar Dozor, контролировать передачу данных через VK Teams, eXpress и Airdrop, передавать события и инциденты из Solar Dozor в различные SIEM-системы в режиме реального времени и ряд других опций.

По информации компании, в Solar Dozor 7.9 оптимизированы функции управления endpoint-агентами. Так, оптимизировалось управление группами рабочих станций. В предыдущих версиях нельзя было создать подгруппы рабочих станций – все группы находились на одном уровне иерархии. Теперь такая возможность появилась, и она будет особенно востребована крупными мультифилиальными компаниями с разветвленной структурой групп рабочих станций.

Начиная с версии 7.9, Linux-агент Solar Dozor можно развертывать с помощью веб-интерфейса DLP-системы. Ранее установка проводилась только посредством shell-скрипта. Теперь же в веб-интерфейсе можно запускать процесс развертывания агента и всех необходимых пакетов на рабочих станциях, управлять дистрибутивами агента и наборами этих дистрибутивов, учетными записями пользователей с правами на установку Linux-агента. Реализация этой функции оптимизирует процесс массовой установки агента на компьютерах пользователей, особенно для крупных компаний с большим парком рабочих мест на базе Linux и для тех, кому предстоит перейти на эту ОС.

В модуле Dozor Endpoint Agent для Windows разработан, не зависящий от протокола механизм перехвата сообщений, передаваемых в WhatsApp Desktop, обеспечивающий более надежный по сравнению с предыдущей реализацией перехват.
Перехватываются данные, передаваемые окну приложения (мессенджера), которое сотрудник использует на своей рабочей станции. Кроме того, в обновленной версии Solar Dozor существенно расширен набор контролируемых каналов передачи данных. В частности, на рабочих станциях под управлением macOS обеспечивается перехват и блокировка
передачи файлов через AirDrop. Осуществляется перехват файлов (документов и изображений), передаваемых с помощью AirDrop с рабочего стола компьютера пользователя, из файлового менеджера Finder или напрямую из приложений, а также блокировка передачи файлов через AirDrop при соответствующей настройке политики.

Также взята под контроль коммуникация в отечественных мессенджерах VK Teams и eXpress. Отправляемые сотрудниками через эти мессенджеры сообщения и файлы перехватываются системой Solar Dozor и проходят проверку в соответствии с условиями политики безопасности организации. Теперь офицер безопасности может найти и просмотреть переписку сотрудника в VK Teams и eXpress, сообщения в групповом чате eXpress и список участников чата, настроить политику безопасности с учетом перехвата сообщений и файлов в eXpress и VK Teams. Изменение значимо снижает риск утечки конфиденциальных данных из компаний.

Вопрос контроля передачи информации в мессенджерах на апрель 2023 года весьма актуален — это очень важный канал коммуникаций, который по интенсивности общения не уступает корпоративной почте, а в части передачи чувствительной информации даже и превосходит ее. Сотрудники компаний пользуются для обмена информацией и корпоративными – теперь преимущественно отечественными, и публичными мессенджерами, а значит, риски утечек конфиденциальных данных существуют в обоих случаях, и такие коммуникации обязательно нужно контролировать. подчеркнул Илья Лушин, руководитель продукта Solar Dozor компании «Ростелеком-Солар»

Досье сотрудников в Solar Dozor 7.9 может пополняться данными из дополнительного источника: реализована поддержка LDAP-сервера со свободной лицензией и открытым программным кодом – FreeIPA (389 Directory Server). Помимо сведений о сотрудниках, из этого источника также можно получить список рабочих станций (например, для установки на
них агентов).

Также в версии 7.9 расширены интеграционные возможности DLP-системы. В интерфейсе реализована настройка передачи событий и инцидентов из Solar Dozor в различные SIEM-решения в режиме реального времени с помощью выгрузки необходимых данных в syslog – журнал, который поддерживается большинством SIEM-систем. Это позволяет пользователям централизованно обрабатывать события безопасности сразу из нескольких систем.

Пользователи Solar Dozor 7.9 заметят некоторые обновления интерфейса системы. Так, раздел Перехватчики был разделен на разделы Endpoint Agents и File Crawler. В каждый из разделов добавлены возможности навигации, поиска, настройки отображения элементов. В разделе Поиск переработан интерфейс форм запроса для быстрого и расширенного поисков, а также для шаблонов. Расширены возможности использования быстрого поиска по беседам и работы с результатами поиска.

И, наконец, разработчики обновленной версии уделили внимание оптимизации контроля за работоспособностью системы. В Solar Dozor версии 7.9 появились триггеры, позволяющие оперативно контролировать: отсутствие входящего трафика от Dozor Traffic Analyzer, истечение срока действия пароля учетной записи для синхронизации с AD, недоступность мастер-узла и подчиненных узлов кластера, имеющих сервис Досье. Теперь администратор системы может использовать больше инструментов для анализа текущего состояния и работоспособности Solar Dozor.

Совместимость с защищенным корпоративным мессенджером EXpress

В рамках стратегии обеспечения безопасности корпоративных коммуникаций специалисты российской платформы eXpress и «Ростелеком-Солар», разработчика DLP-системы Solar Dozor, выпустили официальный сертификат совместимости двух продуктов. Перед этим интеграцию неоднократно протестировали в испытаниях и нескольких крупных проектах. Об этом 21 февраля 2023 года сообщили в компании «Ростелеком-Солар».

Контроль информации в корпоративных мессенджерах – одна из ключевых возможностей Solar Dozor. С помощью востребованной функции офицеры ИБ российских компаний предотвращают утечки конфиденциальной информации через мессенджеры и проводят расследования инцидентов безопасности.

Чтобы в условиях импортозамещения повысить уровень защиты данных от внутренних инцидентов, в Solar Dozor была добавлена функция мониторинга платформы коммуникаций и мобильности eXpress. Теперь компании подтвердили возможность двусторонним сертификатом совместимости.

В своих продуктах компания планомерно следует путем импортозамещения, обеспечивая совместимость со все большим набором российских операционных систем и технологий передачи данных. В арсенале возможностей Solar Dozor — мониторинг набора наиболее распространенных в корпоративной среде мессенджеров, таких как WhatsApp, Telegram, Skype, Cisco Webex Teams, MS Lync, Viber. Теперь к ним добавился eXpress, отметил Илья Лушин, руководитель продукта Solar Dozor «Ростелеком-Солар».

Оба продукта входят в единый реестр отечественного ПО и сертифицированы ФСТЭК России. Это говорит о том, что Solar Dozor и eXpress соответствуют высоким требованиям безопасности. Корректную работу в результате интеграции решений подтверждает официальный сертификат совместимости.

Интеграция eXpress с продуктами «Ростелеком-Солар» – это возможность для компаний комплексно подойти к вопросу обеспечения необходимого уровня защиты данных в организации. Не просто внедрить разрозненные продукты, а объединить их в единую инфраструктуру,

Совместимость Solar Dozor 7.8 с ОС Astra Linux Special Edition 1.7

12 января 2023 года ГК «Астра» сообщила о том, что совместно с разработчиком системы защиты от утечек информации (DLP) «Ростелеком-Солар» завершили серию тестов работоспособности ПО Solar Dozor 7.8 в среде ОС Astra Linux Special Edition 1.7, в том числе с установленным кумулятивным оперативным обновлением безопасности «Бюллетень № 2022-0819SE17». Результаты исследований подтвердили, что программные продукты совместимы, и решение было сертифицировано в рамках программы технологической кооперации ИТ-производителей Ready for Astra Linux (сертификат № 9647/2022).

DLP-система Solar Dozor блокирует передачу конфиденциальных документов за пределы организации, помогает выявлять признаки корпоративного мошенничества и позволяет обеспечить профилактику инцидентов безопасности. Набор ее возможностей включает контроль основных каналов утечек с помощью анализа сетевого трафика и агентов на рабочих станциях, поисковый механизм с активным режимом работы для контроля локальных и облачных хранилищ, инструменты для анализа поведения пользователей, позволяющие предупреждать инциденты и противодействовать инсайдерам, функцию территориально распределенного режима работы, ретроспективный анализ почтового архива для выявления утечек в трафике, накопленном до начала использования DLP-системы. Среди ключевых особенностей решения вендор выделяет простоту и удобство в использовании, высокую производительность, наличие полнофункционального агента для всех известных платформ, включая Astra Linux, поддержку технологии VDI и фокус на человеке: система концентрируется не на движении информации, а на сотрудниках, их связях и поведении.

Solar Dozor включен в «Единый реестр российских программ для электронных вычислительных машин и баз данных» Минцифры и сертифицирован ФСТЭК России на соответствие требованиям безопасности информации по 4-му уровню доверия и технических условий ТУ 5014-003-17764670-2019.

Импортозамещение в 2023 году идет в российских организациях полным ходом. Поэтому компания считает своей задачей помочь компаниям, мигрирующим на отечественные операционные системы, сделать это максимально безопасно, обеспечив совместимость с данными ОС широкого пула решений безопасности, разрабатываемых компании. Компания помогает заказчикам быстро и просто развернуть необходимую каждой организации систему защиты от утечек, теперь и в среде ОС Astra Linux Special Edition 1.7, отметил Алексей Кубарев, руководитель отдела развития бизнеса центра продуктов Dozor ООО «Ростелеком-Солар».

С появлением различных киберугроз многие организации сталкиваются с утечкой информации. Как и коллеги по отрасли, компания постоянно мониторит ситуацию с возникающими уязвимостями и возможностями для кибератак и быстро адаптирует свое ПО к меняющимся обстоятельствам. Однако, чтобы качественно защитить ИТ-инфраструктуры клиентов, вендорам необходимо не просто реализовывать какие-то собственные доработки, а объединять экспертизу и делать так, чтобы после обновления продуктовые стеки продолжали корректно и стабильно работать. Компания благодарна коллегам из «Ростелеком-Солар» за оперативное и слаженное взаимодействие в части тестирования и обеспечения совместимости софта. Эта эффективная кооперация дает уверенность, что совместные решения справляются с задачей защиты ИТ-систем и данных, прокомментировал Дмитрий Тараканов, руководитель департамента развития технологического сотрудничества ГК «Астра

2022

Совместимость Solar Dozor 7.8 с «Ред ОС»

Российские разработчики «РТК-Солар» и «РЕД СОФТ» 13 декабря 2022 года объявили о совместимости последней версии системы предотвращения утечек информации Solar Dozor 7.8 с операционной системой РЕД ОС. Подтверждена совместимость с данной отечественной операционной системой как агентской, так и серверной части DLP-решения производства «РТК-Солар». Тестирование проведено в рамках планомерного расширения «РТК-Солар» возможностей своих ИБ-решений в направлении импортозамещения.

В 2022 году импортозамещение в России по сути стало обязательным; многие заказчики в срочном порядке переходят на отечественные решения, включая различные операционные системы. Реализуя совместимость наших продуктов по кибербезопасности с российскими ОС, мы помогаем нашим заказчикам оперативно внедрить у себя такие необходимые российским организациям средства защиты от актуальных угроз, – отметил Алексей Кубарев, руководитель отдела развития бизнеса Центра продуктов Dozor «РТК-Солар».

Расширение совместимости последних версий программного обеспечения с российскими Linux-платформами является актуальной задачей, об оперативном решении которой очень часто говорят в ИТ-среде. Полноценная работоспособность обновления системы Solar Dozor 7.8 в экосистеме РЕД ОС доказывает, что разработчики идут в верном направлении и настроены позитивно в вопросах создания импортонезависимого техностека, – рассказал заместитель генерального директора РЕД СОФТ Рустам Рустамов.

Solar Dozor 7.8

Компания «РТК-Солар» сообщила 2 декабря о выпуске следующей версии системы предотвращения утечек информации Solar Dozor 7.8. В обновлении реализованы изменения в политике модуля Dozor Endpoint Agent, в модуль UBA добавлен источник данных – мессенджеры, расширена совместимость с отечественным ПО, улучшена производительность технологии распознавания графических объектов.

Ключевым нововведением версии 7.8 стали изменения в логике работы политики, применяемой в модуле контроля действий сотрудников на рабочих станциях Dozor Endpoint Agent. Теперь правила политики можно применять не только к рабочим станциям, как это было ранее, но и к конкретным пользователям или группам пользователей компании. Это значительно повысит качество работы политики безопасности DLP-системы и гибкость ее применения, а также упростит настройку и обслуживание.

В этой версии было сделано значимое для продукта изменение в правилах политики endpoint-агента по многочисленным просьбам пользователей Solar Dozor. Обновленные правила политики позволят заказчикам более эффективно управлять правами пользователей на контролируемых рабочих станциях, а значит, – снизить риск преднамеренных либо случайных утечек информации, отметил Илья Лушин, руководитель продукта Solar Dozor компании «РТК-Солар».

В целом, функциональность endpoint-агента в обновленной версии была серьезно расширена. В частности, MacOS-агент обрел возможности перехвата нажатий клавиш с клавиатуры рабочих станций (кейлогер), снятия снимков с экрана. Реализован контроль копирования файлов на съемные носители и сетевые диски, а также контроль данных в буфере обмена. А в Linux-агенте появился перехват почты по протоколу EWS для отечественного почтового клиента Evolution, который повсеместно внедряется на рабочих станциях под управлением Linux.

Кроме того, модуль анализа поведения пользователей Dozor UBA теперь работает с еще одним источником данных – мессенджерами, в дополнение к ранее анализируемой информации из электронной почты. Различные сервисы мгновенного обмена сообщениями являются одним из наиболее востребованных каналов – активно используются сотрудниками для решения оперативных вопросов и обмена рабочей информацией. Теперь модуль Dozor UBA будет получать информацию из переписки сотрудников в мессенджерах с агентов на рабочих станциях, что существенно повысит объективность поведенческого анализа и качество работы паттернов поведения (комбинаций поведенческих особенностей и аномалий). Таким образом пользователи Solar Dozor будут видеть более полную картину поведения сотрудников.

Отвечая на вызовы времени, Solar Dozor планомерно расширяет свои возможности в направлении импортозамещения. Так, в версии 7.8 реализована работа системы на отечественных операционных системах РЕД ОС 7.3, Astra Linux SE 1.7 «Смоленск», обеспечена совместимость с системой мониторинга Zabbix версий 5.0 и 5.4, а также с браузерами Yandex и Atom на Windows-платформе.

Большой объем изменений коснулся и пользовательского интерфейса Solar Dozor. Так, был осуществлен переход на быстрый фреймворк Angular, который позволил реализовать обновленную логику работы с карточкой сообщения. Теперь вся информация о перехваченной активности сотрудника доступна в одной карточке сообщения без лишних кликов и переходов.
Кроме того, в интерфейсе был улучшен пользовательский опыт работы со списками событий и инцидентов: повысилась скорость загрузки списков, реализовано сохранение позиционирования событий в списках. Так, ранее при переводе события в статус инцидента или удаления из списка какого-либо инцидента список откатывался к первоначальной версии, что затрудняло работу пользователей. В обновленной версии Solar Dozor изменения в списках сохраняются, а также можно настроить ширину и отображение столбцов при работе со списками.

Также разработчики 7.8 поработали над улучшением производительности технологии распознавания графических объектов. Ранее используемая в DLP-системе модель распознавания графических объектов обеспечивала недостаточную точность определения некоторых графических объектов и была довольно ресурсоемкой. Поэтому разработчики, проведя соответствующие исследования, заменили ее на более актуальную модель искусственной нейронной сети. В результате среднее потребление памяти (RAM avg) снижено примерно на 45%, а точность распознавания графических объектов выросла до 98% (!) Для пользователей DLP-системы это означает снижение риска утечки конфиденциальной информации ввиду более точного распознавание графических объектов, содержащих ключевую информацию.

Одним из основных векторов развития DLP-системы Solar Dozor является максимальная автоматизация рутинных процессов пользователей. В данной версии реализована функция автоматического развертывания модуля Dozor Endpoint Agent на рабочих станциях, вновь добавленных в группы Active Directory (AD). При добавлении станции в группу AD она автоматически добавится и в соответствующую контролируемую группу станций в Solar Dozor. Затем будет произведена автоматическая установка агента на рабочую станцию, а в случае, если она выключена, можно запустить установку по расписанию. Данная функция значительно облегчит пользователям Solar Dozor процесс установки агентов на большое число рабочих станций.

Как анализ поведения пользователей предотвращает инциденты в фармкомпаниях

С недавних пор в отдельных DLP-системах, например, в Solar Dozor, появилась возможность анализа поведения пользователей. В данном случае это отдельный модуль, который формирует профили сотрудников, определяет их типичное поведение и выявляет отклонения. О том, как модуль Dozor UBA помогает предотвратить самые разнообразные корпоративные инциденты, рассказывает Виталий Петросян, аналитик внедрения Центра продуктов Solar Dozor компании «РТК-Солар». Подробнее здесь.

Solar Dozor 7.7

25 мая 2022 года компания «РТК-Солар» сообщила о выпуске обновления системы предотвращения утечек информации Solar Dozor 7.7. В данной версии оптимизирована производительность работы системы в территориально распределенном режиме, скорость фильтрации трафика, реализован контроль содержимого файлов в iCalendar – рабочем календаре сотрудников.

По информации компании, начиная с версии 7.2, DLP-система Solar Dozor может работать в территориально распределенном режиме. На май 2022 года система является единственным решением на рынке, поддерживающим все известные варианты реализации ИТ-инфраструктуры крупных компаний: централизованное размещение серверов обработки данных в головном офисе, локально в каждом филиале и комбинированный вариант размещения. В обновленной версии Solar Dozor 7.7 на локальных веб-серверах реализована возможность скачивания файлов и использования функций быстрого поиска внутри филиала, без дополнительного обращения к общим ресурсам головного офиса. Таким образом снижена нагрузка на каналы связи при передаче данных и производительность работы системы в территориально-распределенном режиме.

Еще один шаг в данной версии сделан в сторону совершенствования политики фильтрации. В решении появилась дополнительная проверка результатов анализа конфиденциальной информации методом регулярных выражений по алгоритму Луна, форматам номеров документов государственного образца, номеров телефонов и пр. Это позволяет ощутимо оптимизировать скорость работы политики, в результате увеличивается скорость фильтрации трафика и снижается нагрузка на офицера ИБ по настройке политики и процент ложноположительных срабатываний.

Одним из недостатков современных DLP-систем до последнего времени являлось отсутствие функции распаковки файлов .ics – событий из рабочего календаря сотрудников, представленных в формате iCalendar. Соответственно, любые файлы, вложенные в эти события, не контролировались, что создавало риски утечки конфиденциальных данных компании. Поэтому в Solar Dozor 7.7 был реализован механизм распаковывания .ics-файлов, визуализации вложения и применения к ним условий политики фильтрации.

Это не самый очевидный канал возможной утечки конфиденциальной информации из компании и тем он опаснее. В своей практике мы часто наблюдаем случаи пересылки подобных сообщений с вложениями из iCalendar за периметр организации, в частности, в компаниях финансовой сферы. Также мы получили немало запросов от заказчиков на решение этой проблемы, поэтому реализовали эту функциональность в обновленной версии. отмечает Илья Лушин, руководитель продукта Solar Dozor компании «РТК-Солар»

Кроме того, в обновлении оптимизировано отображение атрибутов событий календаря в структуре и в тексте сообщения: выводятся основные востребованные пользователями DLP-системы данные – описание события, время, место, сведения об участниках и организаторе.

Ряд возможностей в Solar Dozor 7.7 появился и у endpoint-агента DLP-системы. Так, в версиях Dozor Enpoint Agent для ОС Windows и Linux реализован перехват веб-версии мессенджера Telegram. Теперь обмен сообщениями и файлами в Telegram контролируется при его использовании как в виде приложения, установленного на компьютере, так и при работе в браузере. Также Linux-агент Solar Dozor теперь поддерживает последние версии отечественных и open-source операционных систем, что делает агент востребованным в рамках импортозамещения. Список поддерживаемых отечественных ОС пополнился Astra Linux 1.7 (Орел, Смоленск, Воронеж), РедОС 7.3, ОС в открытым исходным кодом – CentOS 8, Debian 11, Linux Mint 20.3.

Dozor Enpoint Agent для macOS также обрел функциональность контроля подключения USB-устройств – флеш-накопителей и внешних жестких дисков. В обновленной версии реализована поддержка агентом платформы Apple M1, что предоставляет возможность работы агента на mac-устройствах с другой архитектурой. Кроме того, теперь администратор DLP-системы сможет в скрытом режиме развернуть mac-агенты на рабочих станциях посредством решения для корпоративной мобильности AirWatch EMM.

Помимо дополнительных функций в Solar Dozor 7.7 сделан ряд изменений, направленных на удобство использования продукта. В частности, в предыдущих версиях системы глубина сбора информации из архива локальных почтовых ящиков сотрудников Microsoft Outlook составляла не более 14 дней с момента активации перехвата на endpoint-агенте. Однако практика показала, что заказчикам нужен гибкий подход к вопросу глубины сбора данных – кому-то достаточно периода в 1 неделю, а кто-то хочет анализировать информацию не менее чем за месяц. Поэтому теперь в Solar Dozor 7.7 администратор DLP-системы может самостоятельно настроить любой нужный период сбора данных из почтовых ящиков сотрудников.

Сертифицикация ФСТЭК России Solar Dozor 7

Разработка «Ростелеком-Солар» – программный комплекс для предотвращения утечек информации Solar Dozor 7 сертифицирован ФСТЭК России на соответствие требованиям по безопасности информации по 4-му уровню доверия и техническим условиям. Об этом 8 февраля 2022 года сообщили в «Ростелеком-Солар».

Полученный продуктом сертификат соответствия удостоверяет, что Solar Dozor 7 является
программным средством защиты от неправомерной передачи из информационной
системы информации, не содержащей сведений, составляющих гостайну.

«Данный сертификат подтверждает безопасность системы предотвращения утечек информации Solar Dozor – заказчики могут быть уверены в том, что для защиты своих ценных информационных активов они используют проверенное решение. Это в особенности значимо для государственных органов власти, организаций — объектов критической информационной инфраструктуры, а также для компаний любых других сфер экономики, владеющих критичной для бизнеса конфиденциальной информацией. При этом важно понимать, что на российском рынке пока нет специальных требований к сертификации DLP-систем. Поэтому Solar Dozor прошел сертификацию регулятора в полном объеме по общим требованиям доверия, в отличие от большинства конкурирующих решений, которые сертифицированы лишь по узким требованиям к отдельным функциям DLP-систем, например к средствам контроля съемных машинных носителей», отметил Алексей Кубарев, руководитель отдела развития бизнеса Центра продуктов Dozor компании «Ростелеком-Солар»

Сертификация всех 10-ти модулей DLP-системы Solar Dozor 7 длилась 1,5 года.
Программный комплекс прошел полный цикл предусмотренных регулятором экспертиз и
испытаний, по результатам которых испытательная лаборатория АО «Лаборатория ППШ»
и орган по сертификации АО «НПО Эшелон» выдали заключение об успешном прохождении сертификации.

Средства защиты информации, соответствующие 4 уровню доверия, применяются в
значимых объектах критической информационной инфраструктуры 1 категории, в
государственных информационных системах 1 класса защищенности,
автоматизированных системах управления производственными и технологическими
процессами 1 класса защищенности, в информационных системах персональных данных
при необходимости обеспечения 1 уровня защищенности персональных данных, а также в информационных системах общего пользования II класса.
Solar Dozor — российская система для предотвращения утечек конфиденциальной информации. Ее возможности обеспечивают контроль коммуникаций сотрудников, блокировку или изменение нежелательных сообщений, выявление и мониторинг групп риска, а также ретроспективный анализ архива коммуникаций для проведения расследований. Также Solar Dozor может анализировать поведение пользователей (User Behavior Analytics), что позволяет выявлять аномалии поведения, круг общения и приватные контакты сотрудников, а также профилировать их на основе устойчивых паттернов поведения.

Solar Dozor 7.6

25 января 2022 года компания «Ростелеком-Солар» представила обновленную версию системы предотвращения утечек информации Solar Dozor 7.6 Ключевым изменением стала реализованная в Endpoint-агенте для macOS возможность блокировки печати конфиденциальных документов. Кроме того, в Solar Dozor 7.6 появилась функциональность мониторинга поступления трафика из внешних систем по протоколу ICAP при их интеграции с DLP-решением.

По информации компании, начиная с версии 7.6, Solar Dozor позволяет контролировать на компьютерах на базе macOS печать документов, применяя к ним правила политики безопасности. Осуществляется перехват данных, отправляемых на локальные, сетевые и виртуальные принтеры, а также блокирование операции печати. Так, например, можно заблокировать печать документа, содержащего паспортные данные или любой другой вид конфиденциальной информации. На января 2022 года Dozor Endpoint Agent для macOS – единственный на российском рынке endpoint-агент для рабочих станций на базе ОС от Apple, в котором реализована блокировка печати конфиденциальной информации.

Ноутбуки на базе macOS составляют существенную часть компьютерного парка многих российских компаний, в особенности работающих в сфере дизайна, медиа, ритейла и др. При этом контроль рабочих станций под управлением ОС от Apple на отечественном рынке обеспечивают лишь единицы DLP-систем. Теперь наши заказчики-пользователи macOS могут не просто фиксировать факт утечки конфиденциальной информации через печать с MacBook, но и активно предотвращать такие инциденты. подчеркнула Галина Рябова, директор Центра продуктов Dozor компании «Ростелеком-Солар»

Разработчики Solar Dozor 7.6 дополнили продукт функцией отслеживания поступления и обработки ICAP-трафика от различных внешних систем. Это позволяет пользователю DLP-системы, не копаясь в лог-файлах и не анализируя технические заголовки, быстро увидеть, поступает ли ICAP-трафик от той или иной системы, обрабатывается ли он, и делается ли это корректно.

Важной частью решения задачи мониторинга поступления данных от внешних систем стала функция идентификации трафика, которая позволяет определить, от какой именно системы поступают конкретные сообщения. Благодаря этому можно выявить и устранить проблемы с трафиком от внешних систем.

В целом, в обновленной версии Solar Dozor разработчики сделали различные обновления, связанные с контролем рабочих станций сотрудников. Так, стало удобнее контролировать доступ к различным USB-устройствам на рабочих станциях – флеш-накопителям, подключаемым веб-камерам и др. Теперь можно запретить или, наоборот, разрешить использование USB-устройств конкретной модели и производителя. Это оптимизирует время работы с большими массивами USB-устройств по сравнению с необходимостью их настройки по полному списку по всей компании.

Также пользователи Solar Dozor 7.6 могут в скрытом режиме удаленно развертывать агенты мониторинга рабочих станций на macOS через облачную службу управления корпоративной мобильностью (EMM). Это кроссплатформенное решение для управления мобильными устройствами, ПК и установленными на них приложениями используют многие заказчики, что и послужило причиной реализации этой функции. Кроме того, в рамках релиза Solar Dozor 7.6 разработчики добавили поддержку ОС macOS 12 Monterey.

В Solar Dozor 7.6 появилась функция записи звука с микрофона рабочей станции с возможностью ее прослушивания в режиме, приближенном к реальному времени. Сотрудник службы безопасности может начать прослушивать запись через 1-2 минуты после ее запуска. Также можно настроить срок хранения записей для их последующего использования. Эта функциональность помогает специалисту по безопасности осуществлять проверку при возникновении подозрений на нарушение со стороны сотрудника, поэтому она востребована заказчиками для сбора доказательной базы при проведении расследований.

2021

Solar Dozor 7.5

28 сентября 2021 года компания «Ростелеком-Солар» выпустила обновленную версию DLP-системы Solar Dozor 7.5.

Рабочие станции персонала – один из ключевых объектов мониторинга для DLP-систем, поэтому в данной версии мы сделали шаг в развитии нашего endpoint-агента. Теперь в арсенале Solar Dozor – агенты для мониторинга рабочих станций под управлением всех трех операционных систем. Кроме того, вслед за развитием технологий коммуникаций мы планомерно расширяем количество контролируемых каналов, уделяем внимание набирающим популярность мессенджерам, как частным, так и корпоративным. Продолжаем развивать и модуль анализа поведения пользователей Dozor UBA – в обновленной версии дополнили модуль детализированными отчетами. За 2020 год многие наши клиенты накопили достаточный опыт практического применения этого инструмента и делятся с нами идеями по его развитию.

По информации компании, в российских компаниях на рабочих станциях под управлением macOS работает в среднем от 5% до 50% сотрудников в зависимости от специфики деятельности организации. Это и руководство, чьи ноутбуки содержат ключевую финансово-экономическую информацию и стратегию развития бизнеса. И ИТ-специалисты – разработчики, архитекторы, дизайнеры UI/UX, владеющие конфиденциальной технической информацией, базами данных, стратегией развития ИТ-продуктов и услуг компании. И специалисты других направлений – дизайнеры, маркетологи, работающие с договорами, конкурсной документацией, базами данных клиентов, информацией о рыночном развитии продуктов и услуг и т.п. Утечка подобных сведений оборачивается весьма печальными последствиями для бизнеса.

С целью защиты чувствительных данных компаний на рабочих станциях под управлением macOS, в состав обновления DLP-системы Solar Dozor 7.5 вошел модуль Dozor Endpoint Agent for macOS, в дополнение к ранее реализованным Window и Linux-агентам. На сентябрь 2021 года это единственный на российском рынке macOS-агент, контролирующий веб-ресурсы, данные в мессенджерах и локальную почту на компьютерах производства Apple. В частности, система осуществляет перехват данных, передаваемых через каналы HTTPS (поисковые запросы, сообщения в веб-почте, соцсетях), переписки и отправляемых документов в Skype и WhatsApp (desktop и web), а также перехват сообщений и файлов, пересылаемых через почтовые клиенты по протоколам SMTP, POP3, IMAP. Агент можно установить на рабочие станции как с помощью графического инсталлятора, если регламенты компании требуют ручной установки, так и в автоматическом режиме, используя специальные средства развертывания.

В Solar Dozor версии 7.5 появилась возможность контролировать еще один канал обмена информацией – корпоративный мессенджер Cisco Webex Teams. Теперь с помощью функциональности модуля Dozor File Crawler можно настроить систему так, что все сообщения и файлы, отправленные сотрудниками в личных или общих чатах Cisco Webex Teams, будут поступать в Solar Dozor и проходить проверку по условиям политики безопасности организации. При этом доступна история Webex-сообщений, отправленных сотрудниками даже до того, как в компании был установлен Solar Dozor 7.5.

Система сможет проанализировать всю переписку сотрудников, историю изменений Webex-сообщений (исходные, отредактированные и удаленные версии), а также предоставить статистику по сообщениям (количество переданных сообщений и документов за все время или за последние 24 часа).

Анализ поведения пользователей (UBA) – технология, позволяющая выявлять ранние признаки корпоративного мошенничества, зарождение коррупционных схем, предпосылки к возникновению утечек информации и т.п. В обновленной версии Solar Dozor 7.5 появилась возможность получить сведения о поведении сотрудников в виде отчета в формате PDF. Специалисты служб ИБ смогут быстрее выявлять отклонения и опасные тенденции в поведении персонала, а также оперативно предоставлять руководству необходимую отчетность.

Теперь пользователь системы может сформировать отчет, содержащий сведения о поведении сотрудников, относящихся к одному из 20-ти паттернов («работа ночью», «поиск работы», «мертвые души» и т.п.). В отчете отобразятся особые контакты сотрудников, индекс уязвимости, количество событий безопасности и аномалий в поведении. Можно также сформировать отчет и по конкретному сотруднику за период 45 дней. В него войдут как общие сведения о работнике, так и история поведенческих особенностей: динамика индекса уязвимости, внутренней и внешней активности, отправки и получения информационных объектов, все аномалии поведения, список особых контактов – рабочая и приватная эго-сети, неизвестные контакты.

Разработчики Solar Dozor 7.5 уделили много внимания и модулю Dozor Endpoint Agent для Windows. В частности, в данной версии можно настроить контроль печати на принтере и операций с буфером обмена для заданного списка приложений. Такой сфокусированный контроль уменьшает нагрузку на рабочие станции и минимизирует конфликты с ПО, в мониторинге которого нет необходимости.

Кроме того, в Solar Dozor 7.5 можно с помощью модуля Dozor Endpoint Agent заблокировать передачу защищенных паролем или поврежденных архивов. Это позволяет предотвратить утечку конфиденциальных данных в зашифрованных архивах по всем многочисленным каналам, контролируемым агентами на рабочих станциях пользователей. Поддерживаются наиболее распространенные форматы архивов: ZIP (.zip), RAR4, RAR5 (.rar), 7-zip (.7z), ARJ.

Ключевой информацией для принятия решения об установке endpoint-агента на ту или иную конечную точку является ФИО сотрудника с привязкой к рабочей станции . Раньше эту информацию можно было получить в интерфейсе Solar Dozor только после установки полнофункционального endpoint-агента. Начиная с версии 7.5, ФИО сотрудника, вошедшего на рабочую станцию, отображается сразу после установки на нее «легкого» средства развертывания (Updater). Эти сведения позволяют быстро узнать, какие рабочие устройства официально закреплены за конкретным сотрудником, и установить на них агент.

Solar Dozor 7.4

24 июня 2021 года компания «Ростелеком-Солар» сообщила о выпуске обновленной версии программного продукта Solar Dozor 7.4. Релиз посвящен реализации модулей анализа поведения пользователей (Dozor UBA) и мониторинга хранения конфиденциальной информации (Dozor File Crawler) в территориально-распределенной конфигурации – для компаний с разветвленной филиальной сетью.

Естественный процесс монополизации и укрупнения бизнеса с 2020 года ускорился под влиянием пандемии: для многих компаний вхождение в состав более крупного и устойчивого к кризисным явлениям игрока стало хорошей бизнес-стратегией. Для холдингов же выгодные с точки зрения повышения эффективности бизнеса M&A сделки сопровождаются рисками безопасности, связанными с вливанием в компанию структуры с другими бизнес-процессами, с другой корпоративной культурой, со сложностями интеграции сотрудников. Для групп компаний и организаций с присоединенными структурами на первый план выходит необходимость централизованного контролируемого решения задач безопасности в разнородной иерархической территориально-распределенной структуре. Для таких организаций всегда актуальны 3 группы задач: контроль безопасности в целом (сквозные аналитические инструменты мониторинга и проведения расследований), централизация экспертных функций (например, экспертной аналитики или администрирования системы), контроль подразделений безопасности со стороны центра. Именно поэтому в данном релизе мы уделили внимание реализации работы ключевых аналитических модулей системы в мультифилиальном режиме. отметила Галина Рябова, директор центра продуктов Dozor компании «Ростелеком-Солар»

По информации компании, практика использования крупными российскими компаниями модуля анализа поведения пользователей Dozor UBA, выпущенного «Ростелеком-Солар» в конце 2019 года, показала: наиболее эффективно применять результаты анализа можно при установке модуля отдельно в каждом территориальном подразделении. В предыдущих версиях Solar Dozor UBA-модуль устанавливался на общие ресурсы и предоставлял лишь усредненную обобщенную информацию поведения пользователей по компании в целом.

В обновленной версии, с одной стороны, все установки модуля Dozor UBA в каждом филиале объединены в связанную систему, что позволяет получить полный срез данных о поведении пользователей по всей организации. С другой стороны, через единый веб-интерфейс Solar Dozor можно выбрать любое территориальное подразделение и перейти к сводной статистике и детализации не только по конкретному филиалу, но и по любому его пользователю. Сводная статистика по филиалу учитывает наиболее значимые факторы риска: опасные и подозрительные тенденции в территориальном подразделении, наличие персон с серьезными отклонениями в поведении и их прирост за неделю. Также доступна информация о характерных для персонала данного филиала паттернах поведения, аномалиях поведения, особых контактах сотрудников, их суточной активности и т.п.

Для каждого филиала появилась возможность установить часовой пояс, что позволяет обеспечить точность анализа суточной активности его сотрудников (утро, день, вечер, ночь), расчета паттернов поведения «Работа ночью» и «Работа в выходные дни». При работе с паттернами поведения пользователей можно переключаться между территориальными подразделениями, анализируя различия в паттернах от филиала к филиалу.

В Solar Dozor 7.4. нашла отражение и практика применения мультифилиальными компаниями модуля мониторинга хранения данных Dozor File Crawler. В предшествующих версиях отсутствовало соотнесение узлов распределенной сети, для проверки которых использовался модуль, с филиалами, в которых находятся эти узлы. В таком режиме было сложно управлять задачами модуля и использовать карту сети. Для запуска задачи нужно было указать конкретный узел, а данные об инспектировании всех узлов сети образовывали одну огромную карту, в которой было сложно ориентироваться.

Теперь каждая задача сканирования сети в момент её создания автоматически привязывается к соответствующему территориальному подразделению, и все дальнейшие настройки задачи, выбор элементов карты сети производятся в привязке к конкретному филиалу. Ресурсы каждого территориального подразделения отображаются в отдельной ветке в зависимости от инсталляции Dozor File Crawler, с помощью которой было выполнено сканирование. Также при предоставлении работающим с системой специалистам прав доступа к данным филиала осуществляется разграничение доступа к задачам сканирования и веткам карты сети. Все эти изменения помогут ИБ-специалистам крупных организаций сэкономить время на управлении модулем мониторинга хранения конфиденциальной информации и эффективнее использовать результаты аудита сети.

Кроме того, в данной версии появился ряд дополнительных механизмов защиты конфиденциальных данных от утечек. В частности, Solar Dozor 7.4 позволяет транслировать видео с экрана рабочей станции сотрудника в режиме реального времени. Данный инструмент востребован заказчиками для сбора доказательной базы при проведении расследований.

Также система осуществляет считывание структуры каталогов съемных носителей информации (флеш-накопителей, карт памяти и внешних жестких дисков), подключаемых через USB-порт к рабочим станциям сотрудников компании. Это дает офицерам безопасности возможность просматривать содержимое съемных устройств – структуру папок и название файлов – для выявления попыток копирования конфиденциальных документов.

В крупных компаниях рутинная работа по сбору данных о событиях и инцидентах безопасности делегируется младшим специалистам службы ИБ. В более ранних версиях DLP-системы Solar Dozor руководитель мог лишь поделиться с подчиненным копией поискового запроса. Начиная с версии 7.4, офицер безопасности может предоставлять младшим ИБ-специалистам доступ на выполнение созданных им поисковых запросов: исполнитель сможет выполнять запросы, просматривать их параметры и результат выполнения без возможности внести изменения в запрос. Гибкая настройка доступа к данным системы для сотрудников младшего звена позволит снизить риск утечки ценных сведений.

Для оптимизации удобства использования DLP-системы в обновленной версии разработан механизм оперативного отключения агентского модуля. При конфликтах со сторонним ПО можно временно деактивировать агент нажатием одной кнопки, не удаляя его с рабочей станции. При этом все настройки сохраняются и при обратной активации агента нет необходимости снова его настраивать.

Включение в ГИСП

Министерство промышленности и торговли РФ на базе Государственной информационной системы промышленности (ГИСП) составило перечень решений, которые рекомендованы к применению органам власти и коммерческим предприятиям России для организации процессов удаленной работы. В категории «Информационная безопасность» в него вошли такие продукты «Ростелеком-Солар», как система предотвращения утечек информации Solar Dozor, система автоматизированного управления правами доступа Solar inRights, шлюз веб-безопасности Solar webProxy. Об этом разработчик сообщил 9 февраля 2021 года.

Соответствие продуктов «Ростелеком-Солар» требованиям, предъявляемым к обеспечению безопасного процесса удаленной работы, подтвердил Проектный комитет ГИСП. В его состав вошли ведущие эксперты АНО «Цифровая экономика», Фонда развития интернет-инициатив, Ассоциации разработчиков программных продуктов «Отечественный софт» и Ассоциации участников рынка интернета вещей.

Инициатива реализована в рамках государственной программы «Развития промышленности и повышения ее конкурентоспособности», целью которой является создание в России конкурентоспособной, устойчивой, структурно сбалансированной промышленности, — отмечает Михаил Адоньев, директор по стратегическим проектам компании «Ростелеком-Солар». — Наряду с другими направлениями стимулирования промышленного развития Минпромторг России оказывает активную информационную поддержку предприятий на портале ГИСП. Созданный реестр решений для организации удаленной работы облегчит компаниям выбор продуктов для поддержания непрерывности бизнес-процессов в условиях удаленной работы.

Представленные в реестре решения «Ростелеком-Солар» обеспечивают информационную безопасность удаленного управления процессами с помощью инструментов дистанционного мониторинга, что позволяет сократить риски физического присутствия на объектах. Например, DLP-система Solar Dozor предназначена для защиты информационных активов и позволяет блокировать утечки информации, осуществлять контроль каналов коммуникаций сотрудников и выявлять признаки корпоративного мошенничества. Другое решение «Ростелеком-Солар» — Solar inRights — помогает выстроить на предприятии процедуры исполнения политик и регламентов безопасности в области управления правами доступа. Для контроля доступа сотрудников и приложений к веб-страницам, защиты веб-трафика от вредоносных программ и навязчивой рекламы Минпромторг рекомендует шлюз веб-безопасности Solar webProxy.

2020

Solar Dozor 7.3

3 декабря 2020 года компания «Ростелеком-Солар» сообщила, что обновила свою флагманскую DLP-систему Solar Dozor до версии 7.3. В обновлении представлена технология глубокого обучения на основе нейронных сетей Faster RCNN. Она позволяет контролировать передачу критичных данных в графических форматах – изображениях, сканированных копиях, фотографиях и т.п. Кроме того, важным шагом стала реализация в Solar Dozor 7.3 контроля переписки сотрудников в desktop-версии мессенджера Telegram.

По информации компании, наиболее значимым изменением в Solar Dozor 7.3 стало появление инструмента политики безопасности «Графический шаблон», который контролирует передачу критичных данных в графических форматах. С помощью этого инструмента DLP-система распознает в изображениях такие объекты, как паспортные данные граждан РФ, печати организаций, лицевую и оборотную стороны платежных карт.

Для распознавания графических объектов в решении используется специализированная технология глубокого обучения на основе нейронных сетей Faster RCNN (region-based convolutional neural networks). Скорость работы технологии практически не зависит от размера изображения. Объекты распознаются с учетом различных деформаций – растяжения, поворота, наложения на другие объекты, а также при полном отсутствии текстовой составляющей. Возможности Faster RCNN по эффективности распознавания конфиденциальных данных в графических объектах значительно превосходят традиционно применяемые в DLP-системах технологии OCR, детектирования печатей и прочие.

Утечки конфиденциальных данных в различных графических форматах – сканах документов, изображениях и т.п. – весьма распространенное явление. В графическом виде часто утекают паспортные данные граждан, данные банковских карт, имеющие на ноябрь 2020 года ликвидность на черном рынке. В то же время используемые во многих DLP-системах классические инструменты выявления конфиденциальной информации в «графике», вроде технологий OCR, детекторов печатей, паспортов и тому подобных, до сих пор решали эту задачу с переменным успехом. Их эффективность сильно зависит от качества анализируемого изображения и серьезно снижается, если пересылается искаженный объект – растянутый, искривленный, в низком разрешении и т.п. Впервые примененная нами технология глубокого обучения на основе нейронных сетей Faster RCNN способна выявить попытки слива критичных данных даже в сильно деформированных объектах. отметила Галина Рябова, директор Центра продуктов Solar Dozor компании «Ростелеком-Солар»

Версия Solar Dozor 7.3 сделала большой шаг вперед и в направлении расширения списка контролируемых каналов передачи данных. Теперь с помощью модуля Dozor Endpoint Agent, установленного на рабочих станциях корпоративной сети, можно контролировать переписку сотрудников в desktop-версии мессенджера Telegram и отправку файлов в облачные хранилища с помощью desktop-приложений Яндекс.Диск и Google Drive. Кроме того, в данной версии появились механизмы, которые позволяют распознавать в сообщениях и именах файлов текст, написанный транслитом и (или) содержащий опечатки, и преобразовывать его в корректный текст. Таким образом специалисты по безопасности смогут контролировать передачу текста, который намеренно или случайно был искажен с помощью транслита и (или) опечаток.

Ряд важных изменений был сделан и в одном из ключевых модулей системы – Dozor UBA. Модуль анализа поведения пользователей в версии 7.3 расширил свою функциональность, позволяющую минимизировать риск утечки данных при увольнении сотрудников. Для этого в интерфейсе системы в разделе «Анализ поведения» появился виджет «Признаки увольнения». Кликнув на виджет, офицер безопасности мгновенно получает список сотрудников, в поведении которых присутствуют признаки подготовки к увольнению.

Критерии, по которым система выявляет работников, готовящихся к увольнению, были сформированы в результате практических исследований и наблюдений за поведением уходящих из компаний сотрудников. К таким критериям относится постепенное падение внешней и внутренней активности, оптимизация или сокращение сотрудником рабочего графика, появление уникальных контактов в коммуникациях, передача нехарактерных для сотрудника информационных активов и ряд других.

Также в Dozor UBA добавлены классы аномалий поведения «Новый неизвестный контакт» и «Новый информационный объект», используемые в том числе и при выявлении увольняющихся сотрудников. Например, эти аномалии будут зафиксированы в поведении сотрудника, который вдруг начал собирать не имеющие отношения к его работе документы компании и пересылать их на неизвестную системе электронную почту. Такое поведение встречается среди сотрудников, принявших решение уйти из компании и решивших повысить свою привлекательность на рынке труда за счет бывшего работодателя.

Для повышения удобства использования системы в Solar Dozor 7.3 был полностью переработан и дополнен критериями фильтр результатов быстрого поиска. Теперь он доступен по нажатию кнопки в отдельном окне, где критерии фильтрации сгруппированы так, чтобы офицер безопасности мог применить к конкретной поисковой выборке критерии из одной или сразу из нескольких групп.

Фильтр помогает быстро находить нужные данные в уже сформированной поисковой выборке, что сэкономит время на обнаружение утечек и расследование инцидентов.

Кроме того, модуль Dozor Endpoint Agent в обновленной версии DLP-системы собирает диагностическую информацию с рабочих станций корпоративной сети, что позволяет сократить время на разбор и устранение проблем и сбоев в работе агента на конечных точках.

Dozor Endpoint Agent Linux 2.6

Компания «Ростелеком-Солар», 24 сентября 2020 года сообщила о выходе очередной версии модуля контроля рабочих станций Dozor Endpoint Agent Linux 2.6. Данный агент для Linux обладает аналогичным Windows-версии набором возможностей, а также является многофункциональным endpoint-решением на базе ОС Linux на российском рынке.

Согласно приказу Минкомсвязи России №96 от 01.04.2015 «Об утверждении плана импортозамещения программного обеспечения», к 2025 году доля отечественных операционных систем (ОС) в государственных организациях должна составить не менее 50%. Существующие и создаваемые в России ОС реализованы на базе свободно распространяемых дистрибутивов GNU/Linux, которые большинство рыночных систем предотвращения утечек информации (DLP) поддерживают лишь ограниченным набором возможностей. Выход Dozor Endpoint Agent Linux 2.6 призван восполнить функциональные пробелы доступных отечественным заказчикам Linux-версий систем мониторинга рабочих станций пользователей.

Данная версия агента контролирует печать документов на принтере, их копирование в буфер обмена, сохранение данных на USB-устройства, нажатие клавиш на клавиатуре, а также активность пользователей и отдельных приложений на рабочей станции. При необходимости модуль может работать в режиме активного противодействия: запрещать копирование файлов на съемные носители и сетевые диски, блокировать буфер обмена, отправку информации через браузеры, в том числе в облачные хранилища. Кроме того, Dozor Endpoint Agent Linux 2.6 позволяет мониторить действия сотрудника, делая снимки рабочего стола при нажатии пользователем определенных клавиш или через заданные промежутки времени.

Dozor Endpoint Agent Linux 2.6 поддерживает следующий список Linux-платформ:

• Astra Linux SE 1.5 и 1.6 «Смоленск»
• Astra Linux CE 2.12 «Орёл»
• CentOS 7
• Ubuntu 18.04 LTS
• Ред ОС 7.2 «Муром»
• Гослинукс ИК6

Совместимость с платформами Astra Linux и Ред ОС подтверждена соответствующими сертификатами.

Следует отметить, что версию Linux-агента 2.6 можно также использовать и для контроля работы пользователей на терминальных серверах под управлением ОС Циркон 36СТ.

Мы считаем поддержку отечественных операционных систем на базе Linux значимой составляющей технологического развития программных продуктов семейства Solar Dozor. Российский рынок информационной безопасности ведет системную работу по обеспечению готовности государственных компаний к импортозамещению. «Ростелеком-Солар» со своей стороны стремится помочь компаниям госсектора максимально легко перейти на российские разработки, обеспечив совместимость своих технологий с Linux-системами. Выпуск полнофункционального Linux-агента является существенным шагом в этом направлении, – отметила Галина Рябова, директор Центра продуктов Solar Dozor компании «Ростелеком-Солар».

Solar Dozor 7.2

28 мая 2020 года компания «Ростелеком-Солар» сообщила о выпуске обновленной версии DLP-системы Solar Dozor 7.2. Функциональность решения была расширена за счет модуля MultiDozor, который позволяет связывать все филиальные инсталляции Solar Dozor в единую систему с управлением из центра. MultiDozor ориентирован, в первую очередь, на крупный территориально распределенный бизнес и на органы государственной власти с их разветвленной структурой. С его помощью эти организации смогут быстрее и результативнее решать задачи внутренней безопасности.

В «Ростелеком-Солар» считают, что одной из основных проблем внутренней безопасности крупных предприятий с территориально-распределенной сетью подразделений является отсутствие видения общей ситуации и контроля безопасности в компании в целом. Все филиалы по сути являются единой организацией с едиными стандартами и политиками безопасности, однако DLP-система устанавливается отдельно в каждом из подразделений и, соответственно, осуществляет мониторинг по каждому филиалу в отдельности.

Со слов разработчика, модуль MultiDozor позволяет в режиме реального времени анализировать и обрабатывать данные о событиях внутренней безопасности как по компании в целом, так и по каждому из подразделений. В результате сотрудники службы ИБ головного офиса могут проводить сквозные расследования инцидентов в масштабе всей компании вне зависимости от степени децентрализации ИТ-инфраструктуры и пропускной способности каналов предприятия. Модуль предоставляет возможность вести централизованный мониторинг групп особого контроля с помощью единого досье с сотрудниками всех территориальных подразделений. В целом, в MultiDozor доступен такой же набор аналитических срезов данных, что и в филиальных инсталляциях Solar Dozor. А возможность создания единой для всей компании политики с настройкой изменений под каждый филиал отличает представленное решение от других DLP-систем.

Гибкая настройка прав в модуле позволяет сохранить за представителями ИБ-служб на местах такие базовые функции, как, например, начальный уровень разбора событий безопасности, техническое обслуживание системы и т.п. Для решения более высокоуровневых задач – глубокого расследования инцидентов и проч. – возможно привлечение экспертов, территориально располагающихся в центральном офисе. Данная функциональность направлена на решение проблемы нехватки кадров и недостаточного уровня компетенций в ИТ и ИБ-подразделениях филиалов, подчеркнули в «Ростелеком-Солар».

«Для нас реализация этого модуля представляла собой определенный технологический вызов. Позиции DLP-системы Solar Dozor традиционно сильны в сегменте крупных предприятий, где выдвигаются высокие требования к отказоустойчивости систем. Обеспечить же бесперебойную работу территориально распределенной системы по всей стране с учетом возможной нестабильности каналов связи на местах, сохранив весь набор ее функциональности, – это серьезная задача»,

В обновленной версии Solar Dozor 7.2 также получила развитие функциональности модуля анализа поведения пользователей Dozor UBA. Внесённые изменения являются естественным результатом практического применения модуля в компаниях разного масштаба и направлены на повышение удобства работы ИБ-специалистов с системой. В частности, при просмотре диаграмм динамики внутренней и внешней активности сотрудника можно перейти к связанным с ними сообщениям. Это позволяет оперативно выявить аномалии и инциденты безопасности и начать расследование. Стало проще получать из диаграмм данные о динамике активности сотрудника по отдельным интересующим ИБ-специалиста срезам. Так, на основе полученной от заказчиков обратной связи был переработан интерфейс вкладок «Активность» и «Популярность». Данные стали отображаться компактнее – для оценки поведения сотрудника нужна минимальная прокрутка содержимого окна, что ускоряет визуальный анализ, утверждают в «Ростелеком-Солар».

На диаграммах внутренней, внешней активности и популярности сотрудника появилась возможность двигать период, за который отображаются данные. Это позволяет в динамике оценить изменение поведения человека, выявить нарастающие негативные тенденции. Диаграммы были дополнены визуальными элементами, ускоряющими обнаружение значимых аномалий в поведении. А появившаяся возможность применять к диаграммам фильтры позволяет ИБ-специалисту сфокусироваться на интересующем его контенте в переписке сотрудника. В целом, благодаря доработанному интерфейсу вкладок в модуле Dozor UBA, пользователю доступен для просмотра большой объем данных на одном экране.

Совместимость с Ред ОС

13 января 2019 года компания RedSoft сообщила, что система предотвращения утечек конфиденциальной информации Solar Dozor успешно прошла тестирование на совместимость с российской операционной системой семейства Linux РЕД ОС. По итогам проведенных работ «Ростелеком-Солар» и РЕД СОФТ подписали двусторонний сертификат совместимости.

Мы рассматриваем технологическое сотрудничество с разработчиками ПО как одну из основ успешного развития бизнеса в сфере ИТ. На российском рынке информационной безопасности ведется системная работа по обеспечению готовности государственных компаний к импортозамещению. «Ростелеком-Солар» со своей стороны стремится помочь данным компаниям в части более легкого и беспроблемного перехода на российские разработки, обеспечив максимальную совместимость своих технологий с отечественными системами других классов. Совместимость нашего флагманского продукта Solar Dozor с отечественной РЕД ОС – один из существенных шагов в данном направлении,

Использование системы Solar Dozor в среде операционной системы РЕД ОС позволит клиенту обеспечить высокий уровень информационной безопасности своих процессов. Совместно с партнерами рады предоставить еще одно импортонезависимое решение, прокомментировал Рустамов Рустам, заместитель генерального директора РЕД СОФТ

2019

Solar Dozor 7

8 октября 2019 года компания «Ростелеком-Солар» объявила о выходе на рынок DLP-системы Solar Dozor 7 с интегрированным модулем продвинутого анализа поведения пользователей Solar Dozor UBA. Система решает широкий круг задач безопасности, выходящих за рамки защиты от утечек, и позволяет с помощью автоматизированного анализа выявлять ранние признаки нарушений со стороны сотрудников компании.

По информации компании, Solar Dozor 7 – система защиты от утечек следующего поколения, основанная на передовой концепции People-Centric Security. Эта концепция подразумевает переход службы информационной безопасности от мониторинга сотен и тысяч уведомлений об инцидентах с данными к анализу поведения сотрудников и выявлению отклонений в поведении.

В состав Solar Dozor 7 вошел модуль глубокого анализа поведения пользователей (UBA – User Behavior Analysis). Модуль позволяет автоматически выявлять в поведении сотрудников компании аномалии, которые могут свидетельствовать о ранних признаках корпоративного мошенничества, зарождении коррупционных схем, предпосылках к возникновению утечек информации и т.п. Это дает возможность службам безопасности работать с рисками превентивно, используя автоматизированные инструменты анализа.

На октябрь 2019 года мы четко видим два тренда в развитии DLP-систем. С одной стороны, возможности систем защиты от утечек вышли за рамки задач, лежащих исключительно в сфере информационной безопасности. Они становятся эффективным инструментом снижения рисков в сфере экономической, собственной, кадровой безопасности компаний. С другой стороны, и сама информационная безопасность расширяет свой взгляд на мир, переходит от анализа событий и данных к стратегии безопасности с фокусом на человеке. рассказала Галина Рябова, директор центра развития продуктов Solar Dozor «Ростелеком-Солар»

Методы анализа модуля Solar Dozor UBA основаны наалгоритмах класса unsupervised machine learning (обучение без учителя), не требующих предварительной настройки и адаптации системы под условия эксплуатации. Система анализирует поведение сотрудников по двум направлениям одновременно. С одной стороны, осуществляется наблюдение за каждым сотрудником по набору показателей, которые измеряются с высокой частотой и с учетом персональных особенностей поведения, делового контекста, роли в коллективе и ряда других факторов. Накопленной в течение 2-х месяцев истории активности пользователя достаточно для того, чтобы определить его устойчивое поведение и начать детектировать аномалии его поведения. Такие цифры получены в ходе апробации технологии Solar Dozor UBA на ряде компаний масштабом от 1000 сотрудников.

С другой стороны, модуль Solar Dozor UBA определяет наиболее уязвимые с точки зрения бизнеса группы сотрудников и сотрудников с подозрительным поведением, относя их к различным паттернам поведения (комбинациям поведенческих особенностей и аномалий). На октябрь 2019 года в системе насчитывается порядка 20-ти паттернов, среди которых: «мертвые души», сотрудники с аномалиями внешних коммуникаций, с наличием теневых личных контактов (т.н. приватных эго-сетей) и др. По каждому из паттернов ведется постоянный контроль опасных тенденций, приближенный к реальному времени.

Собираемая с помощью UBA-модуля информация существенно обогатила модуль Досье DLP-системы Solar Dozor 7. Теперь он сосредотачивает в себе максимально полную информацию о персоне (сотруднике, группе сотрудников и других участниках коммуникаций) и вместе с быстрым сквозным поиском и настроенными срезами данных является оптимальной средой для проведения расследований, не имеющей аналогов в других DLP-системах. Здесь же стало доступным и профилирование персонала по показателям использования рабочего времени.

Solar Dozor 6.8

28 мая 2019 года компания Ростелеком-Solar сообщила, что выпустила обновленную версию DLP-системы Solar Dozor. Ее ключевыми усовершенствованиями стали полностью обновленный агент для контроля рабочих станций, контроль коммуникаций в Viber, защита конфиденциальной конструкторской документации и поддержка ICAP-трафика от различных прокси-серверов.

По информации компании, при создании данной версии Solar Dozor в фокусе внимания разработчиков находилась задача по доработке модуля Dozor Endpoint Agent, предназначенного для контроля активности сотрудников на рабочих станциях. В частности, был серьезно улучшен механизм перехвата по протоколам HTTP/HTTPS, SMTP, POP3 и IMAP, повышена стабильность и скорость работы модуля. Список контролируемых каналов коммуникаций пополнился мессенджером Viber.

Кроме того, с целью освоения технологий виртуализации, на май 2019 года широко используемых в современной IT-инфраструктуре, в Dozor Endpoint Agent реализована поддержка «золотого образа» Citrix VDI, позволяющая устанавливать агент на виртуальные машины вместе с пакетом стандартного офисного ПО (Microsoft Office, 1С и т.д.).

В стратегии развития DLP-системы Solar Dozor нашими приоритетами являются не только наращивание количества функций, но и глубина их проработки.

Важным шагом вперед стала реализация обработки ICAP-трафика от различных прокси-серверов в режиме реального времени. К данным, переданным по протоколу ICAP, могут быть применены те же правила, что и к сообщениям по другим каналам. В частности, в политике появилось специальное действие «Заблокировать ICAP», которое позволяет запретить как отправку данных на веб-ресурсы, так и скачивание с них. Кроме того, получила более глубокое развитие интеграция Solar Dozor с модулем контроля веб-трафика Dozor Web Proxy. Теперь офицер безопасности может вести единое досье на сотрудника, группу сотрудников или контрагента: все изменения, сделанные в Dozor Web Proxy, будут отражены в Solar Dozor, и наоборот.

Версия Solar Dozor 6.8 обладает специализированной возможностью автоматически определять файлы инженерных пакетов CAD-систем и извлекать из них текстовую информацию (данные чертежей, схем, спецификаций, моделей и т.п.). Поддерживаются форматы DWG, STL, STEP, ADEM CAD, M3D и др.

Значительное развитие в данной версии получила интеграция с Microsoft Active Directory (AD). Теперь офицер безопасности может получить доступ в систему без использования логина и пароля — применяются данные, введенные при входе в ОС. Для аутентификации используется протокол Kerberos.

Чтобы было проще визуально отличить друг от друга импортированные из AD данные персон, в обновленной версии появились индикаторы Organizational Unit и Security group, помогающие при поиске объектов системы, настройке политики и других ситуациях, когда требуется знать тип группы, в которой состоит персона. Кроме того, теперь возможна загрузка данных о персоне из нескольких AD, что важно, например, для компаний, находящихся в процессе слияния или поглощения другими организациями. При этом исключается дублирование учетных записей — дубликаты автоматически объединяются в одну карточку.

С целью повышения скорости реагирования на инциденты в Solar Dozor 6.8 были доработаны возможности поиска. Так, событие или инцидент теперь можно найти по его номеру (идентификатору). Кроме того, в Solar Dozor существуют два режима поиска объектов – быстрый и расширенный. Однако в некоторых случаях может понадобиться быстрый поиск по тексту сообщения с возможностью выбора сложных атрибутов, как в расширенном. В данной версии такая возможность появилась, что позволит точнее и быстрее находить нужную информацию.

Также улучшен контроль действий пользователей: теперь в журнале действий пользователей отображается максимально детализированная информация, в том числе IP-адреса устройств, действия с объектами политики, ролями пользователей и системными справочниками.

Модуль Solar Dozor Web Proxy 3.0

12 февраля 2019 года компания «Ростелеком-Solar» объявила о выходе очередной версии модуля DLP-системы Solar Dozor для контроля веб-трафика — Dozor Web Proxy 3.0. Все изменения, начиная с обновленного графического интерфейса и заканчивая автоматической синхронизацией досье сотрудника в модуле Dozor Web Proxy и DLP-системе Solar Dozor, со слов разработчика, призваны упростить и ускорить работу ИБ-специалистов. Согласно заявлению компании, выход Dozor Web Proxy 3.0. является первым шагом на пути к выделению модуля в самостоятельное продуктовое направление «Ростелеком-Solar».

В Dozor Web Proxy 3.0 представлен обновленный интерфейс управления правилами политики безопасности, логика работы с которыми была полностью изменена. В представленной версии правила политики безопасности группируются в слои (наборы правил), каждый из которых выполняет определенные задачи: исключения аутентификации, вскрытие HTTPS, перенаправление по ICAP, а также фильтрацию запросов и ответов. Слои отображаются в интерфейсе в том порядке, в котором Dozor Web Proxy 3.0 обрабатывает правила политики. Такой подход позволяет офицеру безопасности удобнее и быстрее настраивать правила, утверждает разработчик.

Как отметили в «Ростелеком-Solar», работать с политиками безопасности стало проще благодаря изменению визуального представления правил с древовидного на табличное. Кроме того, элементы политики безопасности, которые используются для формирования правил, сгруппированы в соответствии с частотой их использования при настройке.

«При разработке Dozor Web Proxy 3.0. мы в первую очередь ориентировались на повышение скорости и удобства работы ИБ-специалистов с системой. Для нас эргономика решения не менее важна, чем его функциональность. Упрощение взаимодействия офицеров безопасности со всеми модулями Solar Dozor является частью единой стратегии развития нашего DLP-решения».

Dozor Web Proxy 3.0 автоматически синхронизирует досье сотрудника, ключевой аналитический элемент, с DLP-системой Solar Dozor, что обеспечивает постоянную полноту информации по конкретной персоне вне зависимости от используемого инструмента, подчеркнули в «Ростелеком-Solar».

Со слов разработчика, заметные изменения затронули и реализованный в предыдущих версиях механизм конфигурирования веб-прокси. Эргономичный интерфейс управления настройками конфигурации позволяет осуществлять быстрый поиск параметров фильтрации трафика и доступа пользователей и приложений в соответствии с основными задачами администратора системы.

В Dozor Web Proxy 3.0 реализована функциональность, позволяющая более гибко управлять настройками аутентификации для доступа приложений в Интернет. В представленной версии можно настроить исключения для приложений, которые не поддерживают функцию аутентификации, например, для служб обновления ПО, банковских и тому подобных приложений. Также некоторым хостам необходим доступ в Интернет без аутентификации — например, серверам, оснащенным антивирусной защитой. Исключения аутентификации можно задавать как в прозрачном, так и непрозрачном режимах работы прокси, отметили в «Ростелеком-Solar».

По информации на февраль 2019 года Dozor Web Proxy внесен в Единый реестр отечественного ПО (№ 2874) и может использоваться для замещения зарубежных аналогов. Ведется подготовка к сертификации решения во ФСТЭК России.

2018

Solar Dozor 6.7

23 ноября 2018 года компания Ростелеком-Solar выпустила очередную версию своего DLP-системы Solar Dozor. По информации компании, в версии 6.7 реализован функционал, который усилит противодействие нарушениям правил хранения конфиденциальной информации в корпоративной среде и защиту от ввода пользователями критичных корпоративных данных в различные приложения.

Ключевым в Solar Dozor 6.7 стала возможность активного противодействия нарушениям правил хранения конфиденциальной информации в корпоративной среде с помощью модуля File Crawler. Теперь офицер информационной безопасности может настроить работу File Crawler таким образом, чтобы найденные в результате сканирования файлы, нарушающие политику ИБ, автоматически помещались в безопасное хранилище (карантинный каталог).

Эта функция на ноябрь 2018 года является уникальной для отечественного рынка. Она позволяет предотвратить утечку конфиденциальной информации, не дожидаясь, пока офицер безопасности заметит нарушение и предпримет необходимые меры для его устранения. Галина Рябова, руководитель отдела развития продуктов Solar Dozor

Кроме того, в очередной версии реализована возможность перехвата ввода данных в различные приложения с устройств ввода. Дело в том, что многие приложения шифруют проходящие через них данные. Чтобы офицер ИБ мог проконтролировать, что именно вводят пользователи корпоративных информационных систем в различные приложения, в данной версии реализована функциональность, позволяющая перехватывать эти данные до того, как они попадают в приложения. В частности, Solar Dozor 6.7 осуществляет перехват данных, стертых клавишей Backspace, нажатий клавиши PrintScreen (контроль снимков с экрана), различных комбинаций клавиш, обрабатываемых приложениями, логинов и паролей, вводимых пользователями и т. п. При этом офицер безопасности может настроить перехват только той информации, которая является особо критичной для организации.

На ноябрь 2018 года система также позволяет увидеть события, происходившие на рабочей станции (терминале/удаленном рабочем столе) за несколько минут до и после ввода данных в приложение. Для этого непосредственно в журнале для каждой записи реализован поиск ближайших по времени снимков экрана.

В помощь офицеру ИБ для организации более удобного анализа сетевого трафика в Solar Dozor 6.7 добавлена возможность фильтрации однотипных сообщений, содержащих совпадающие заголовки, действия пользователей и типы таких действий, а также дату и время действий. Функция призвана снизить перехват неинформативного трафика.

Кроме того, реализована привязка файлов к сообщениям при перехватах на почтовых ресурсах в заданных по умолчанию режимах работы ICAP/ICAPS-серверов. Перехваты файлов происходят не сразу после загрузки, а в зависимости от ресурса привязываются к перехватам отправки сообщения и/или сохранения черновика. Вложения выгружаются по таймауту, если в течение данного времени пользователь так и не отправил сообщение.

Интеграция с СЭД CompanyMedia

16 августа 2018 года стало известно, что Ростелеком-Solar и компания ИНТЕРТРАСТ завершили интеграцию своих продуктов: СЭД CompanyMedia, DLP-системы Solar Dozor и IGA-платформы Solar inRights. Совместное их использование позволит заказчикам разграничивать права доступа сотрудников в системе электронного документооборота и защититься от утечки. Подробнее здесь.

Интеграция с межсетевыми экранами FortiGate

Решение для защиты от утечек данных Solar Dozor от Solar Security и межсетевые экраны следующего поколения FortiGate next-generation firewall virtual appliances компании Fortinet протестированы на совместимость. Об этом 7 мая 2018 года сообщили в компании Solar Security.

DLP-решение контролирует деятельность и коммуникации сотрудников на рабочих станциях, в корпоративной сети и интернете. Технически эта функциональность обеспечивается за счет модулей, которые разворачиваются в инфраструктуре заказчика в ходе проекта внедрения и контролируют различные типы трафика.

Решения FortiGate next-generation firewall virtual appliances осуществляют мониторинг трафика с целью блокирования доступа к зараженным сайтам и использования опасных приложений, а также предотвращения вирусных заражений и обеспечения проактивной защиты от вторжений. При интеграции с Solar Dozor по ICAP весь веб-трафик, проходящий через FortiGate next-generation firewall virtual appliances, попадает для анализа в DLP-систему.

После этого Solar Dozor формирует схемы коммуникаций сотрудников, профилирует их поведение и детектирует аномалии, чтобы с высокой точностью выявлять и предотвращать утечки информации, пояснили в Solar Security.

Интеграция с решениями Fortinet сделает процесс внедрения Solar Dozor проще и быстрее, так как позволит не разворачивать дополнительные инструменты для сбора и расшифровки веб-трафика, а использовать решение, которое в большинстве случаев уже установлено у заказчика. Таким образом, мы будем встраиваться в уже имеющуюся инфраструктуру без необходимости закупки модуля web-proxy у нас или других производителей подобных систем, — рассказал Василий Лукиных, менеджер по развитию бизнеса Solar Dozor компании Solar Security.

Solar Dozor 6.6

Компания Solar Security, разработчик продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, 11 апреля 2018 года представила Solar Dozor 6.6, очередную версию системы контроля коммуникаций сотрудников, выявления ранних признаков корпоративного мошенничества и проведения расследований. Solar Dozor 6.6 контролирует действия привилегированных пользователей и защищает конфиденциальные данные в облаке.

Разработчики встроили в версию 6.6 облачный краулер. Это специализированный инструмент, позволяющий офицеру безопасности сканировать облачные хранилища, которые используют сотрудники.

В корпоративном сегменте широкое распространение получил Microsoft Office 365, поэтому в первую очередь мы реализовали именно аудит OneDrive — в отношении как корпоративных, так и публичных облачных хранилищ. В будущем мы планируем масштабировать эту технологию и на другие облачные сервисы. Офицер безопасности должен иметь возможность контролировать информацию вне зависимости от того, где она хранится, — рассказал Василий Лукиных, менеджер по развитию бизнеса Solar Dozor компании Solar Security.

Кроме того, по словам разработчиков, в представленной версии возможности Solar Dozor были существенно расширены за счет функций собственной безопасности DLP-системы. Solar Dozor 6.6 предлагает бизнесу инструменты, позволяющие «контролировать контролёров» — это управление правами доступа и аудит действий пользователей DLP-системы.

Гибкая система управления правами доступа пользователей позволяет легко управлять учетными записями и ролями пользователей. Решение поддерживает гранулированное управление доступом, разграничивающее права на отдельные разделы интерфейса, объекты и функции системы.

Журнал действий пользователей Solar Dozor 6.6 содержит детализированные записи о том, кто, когда и что делал в системе. С его помощью можно контролировать действия как конкретных ИБ-специалистов, так и всех пользователей DLP-системы. Если кто-либо попытается совершить недопустимые действия в системе, заинтересованным лицам немедленно будет отправлено уведомление об инциденте.

Как и каждое обновление Solar Dozor, версия 6.6 включает усовершенствования интерфейса. В данном случае речь идет о справочной системе. Теперь из любого окна DLP-системы пользователю доступна контекстная справка, содержащая всю информацию о разделе, в котором он находится. Справка оформлена в едином стиле Solar Dozor и поддерживает моментальный поиск нужной информации.

2017

Интеграция с NeuroDAT SIEM

Компании Solar Security и Центр безопасности информации в начале ноября 2017 года завершили интеграцию DLP-решения Solar Dozor и системы мониторинга информационной безопасности NeuroDAT SIEM. В рамках технологического сотрудничества реализована схема взаимодействия решений, которая позволяет обогащать NeuroDAT SIEM информацией об инцидентах из Solar Dozor.

Solar Dozor выявляет и предотвращает внутренние угрозы информационной безопасности компании. Решение собирает информацию о движении конфиденциальной информации и коммуникациях сотрудников компании через корпоративную и личную почту, различные мессенджеры, веб-ресурсы и многие другие каналы.

Кроме того, в отличие от других DLP-систем, Solar Dozor фиксирует не только факт утечки информации, но и нестандартное, подозрительное поведение сотрудников компании. Такая информация является результатом сложной аналитики и помогает выявить готовящуюся или скрытно ведущуюся атаку, незаметную для классических технологий предотвращения утечек.

Компании разработали коннектор, позволяющий передавать данную информацию из Solar Dozor в NeuroDAT SIEM. Как результат, теперь в NeuroDAT SIEM автоматизированное формирование различных типов инцидентов информационной безопасности на основе анализа и корреляции (сопоставления) событий происходит с использованием ещё одного важного поставщика событий.

При интеграции с Solar Dozor NeuroDAT SIEM агрегирует и анализирует события с источников, отслеживающих не только внешние, но и внутренние угрозы информационной безопасности. Благодаря этому офицер безопасности получает полную картину происходящего в компании из одной консоли, может применять единые аналитические инструменты ко всей информации о событиях. Это позволяет мгновенно выявлять ведущиеся атаки и оперативно реагировать на них, — отметил Василий Лукиных, менеджер по развитию бизнеса Solar Dozor компании Solar Security.

Учитывая, что NeuroDAT SIEM осуществляет сбор событий безопасности не только от DLP-систем, то, применяя реализованные в NeuroDAT SIEM механизмы корреляции событий, офицеры безопасности получат дополнительный инструмент сокращения числа ложных срабатываний при обнаружении инцидентов, связанных с утечкой данных, — добавил Иван Аксененко, Центр безопасности информации.

Интеграция с MaxPatrol SIEM

Компании Solar Security и Positive Technologies сообщили в октябре о завершении проекта по интеграции DLP-решения Solar Dozor и MaxPatrol SIEM ― системы, предназначенной для выявления инцидентов ИБ в реальном времени. Теперь Solar Dozor передает данные в MaxPatrol SIEM, благодаря чему офицер безопасности получает полную картину событий и инцидентов ИБ в компании, включая данные о передаче конфиденциальной информации по различным каналам, из одного источника.

Solar Dozor 6.5

12 октября 2017 года компания Solar Security представила очередную версию Solar Dozor, созданную для того, чтобы оптимизировать процессы конфигурирования и самодиагностики системы. В релиз вошёл целый ряд функций, упрощающих настройку системы, а также развёртывание и управление агентами.

В эргономичном интерфейсе упростилось управление настройками Solar Dozor 6.5. Это достигается благодаря интуитивной группировке и быстрому сквозному поиску параметров системы.

В частности, была доработана система развертывания и управления агентами. Solar Security 6.5 позволяет офицеру ИБ централизованно устанавливать агенты на рабочие станции, настраивать политики и отслеживать их состояние. В версии 6.5 есть своя карточка для каждой рабочей станции, где отражаются технические данные о ней, информация о всех логинившихся пользователях, сведения о статусе агента и актуальности настроек и политик. Это позволяет офицеру ИБ контролировать бесперебойную работу агентов Solar Dozor.

Кроме того, офицеру ИБ больше не нужно обращаться к системным администраторам за актуальной информацией о состоянии инфраструктуры, потому что в Solar Dozor 6.5 появился инструмент для исследования локальной сети на предмет появления новых узлов и сервисов, указали в Solar Security.

Чтобы настройка Solar Dozor не вызывала лишних сложностей, в версии 6.5 также реализована интерактивная справка, которую можно открыть в любом месте интерфейса системы.

Поддержка Postgres Pro

19 сентября 2017 года компания Solar Security, разработчик продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, объявила о реализации в системе Solar Dozor поддержки Postgres Pro, отечественной ветки СУБД PostgreSQL.

По словам разработчиков, оптимизация архива событий — важная часть развития Solar Dozor. В продукте реализованы механизмы управления долгосрочным и оперативным хранением, которые снимают ограничения на срок хранения и обеспечивают большое «плечо расследования» на любом отрезке времени. Поддержка PostgreSQL была реализована еще в версии Solar Dozor 6.1, и благодаря специально разработанной системе секционирования PostgreSQL достигалось сокращение затрат на хранение данных и увеличение скорости поиска по архиву. Подтвержденные возможности архива Solar Dozor составляют свыше 10 лет хранения данных и более 850 ТБ объема. В последней версии DLP-системы полнотекстовый поиск по архиву занимает всего несколько секунд.

СУБД Postgres Pro входит в реестр российского ПО, что делает связку Solar Dozor — Postgres Pro оптимальным решением для компаний, планирующих замещение зарубежных ИТ-систем отечественными.

Solar Dozor 6.4

11 апреля 2017 года компания Solar Security объявила о выходе версии DLP-технологии Solar Dozor 6.4.

В этой версии повышена результативность расследований и удобство работы пользователя с системой. Согласно заявлению разработчиков, Solar Dozor 6.4 на каждом этапе помогает офицеру безопасности быстрее получать необходимую информацию, экономить время на рутинных операциях и делать больший объём работ при меньших трудозатратах^[1].

Solar Dozor 6.4 предлагает офицеру безопасности инструмент — сводную аналитику по персоне. «Сводная аналитика по персоне» содержит полную сводку активности сотрудника — основную информацию, статистику по событиям и инцидентам, связи, коммуникации и файлы. Отчет адаптирован так, чтобы можно было сразу отправить его руководителю, представить на совещании или прикрепить к личному делу сотрудника в кадровой службе. Его можно отобразить в веб-интерфейсе или выгрузить PDF-файл для печати.

Еще один инструмент оптимизации расследований — анализ архива электронной почты сотрудников, созданного до внедрения DLP. «Заглянуть в прошлое» помогает функции сканирования почтовых серверов. Любой почтовый сервер, облачный или публичный сервис электронной почты, с поддержкой протокола IMAP, можно подключить к Solar Dozor 6.4 и анализировать архив переписки, применив политики и правила фильтрации. Это сокращает время получения первых результатов на пилотных проектах, поскольку после первого сканирования служба ИБ получает информацию по инцидентам, происшедшим до внедрения Solar Dozor.

Собственный прокси-сервер Solar Dozor Web-Proxy теперь работает в прозрачном режиме, в том числе при разворачивании SSL-шифрования. Такой подход позволяет использовать все возможности прокси-сервера без необходимости вносить дополнительные настройки интернет-соединения на рабочих станциях. Они просто подключаются к сети, и вся веб-активность сотрудников, включая зашифрованный трафик, оказывается под контролем.

В интерфейс Solar Dozor 6.4 добавлено более 100 изменений. Возможности интерфейса позволяют быстро создать инцидент из сообщения, добавить персону в группу особого контроля, найти объекты в досье, политиках и информационных объектах, оставлять комментарии к карточке инцидента и другое.

В версии Solar Dozor 6.4 реализован функционал «Хлебные крошки». Он позволяет просматривать и при необходимости быстро возвращаться к 10 последним действиям в системе. Это упрощает выполнение рутинных задач офицера безопасности, когда в ходе работы с DLP-системой ему приходится совершать множество щелчков мышью в минуту, переходя от основной ветки расследования к побочным. Теперь пользователю не требуется держать в памяти цепочку своих действий, чтобы быстро вернуться к основной ветке.

С самого начала мы стремились создать продукт, отличный от других решений российского рынка DLP — оптимизированный в части аналитики, удобный в работе и ориентированный на применение технологий в той же степени, в какой и на комфорт пользователя. В Solar Dozor 6.4 мы продолжили развивать аналитические инструменты офицера безопасности, сконцентрировавшись на том, чтобы упростить процесс расследования инцидентов. Кроме того, мы убеждены, что DLP-система должна подстраиваться под пользователя, а не наоборот. Поэтому большая часть работы над релизом была посвящена доработкам в части юзабилити. В итоге несмотря на то, что в основе Solar Dozor 6.4 лежат сложнейшие технологии, система стала еще более простой и удобной в использовании. Галина Рябова, руководитель направления Solar Dozor компании Solar Security

Solar Security и Kraftway представят совместное защищенное решение

Solar Security объявила о начале технологического партнерства с Kraftway. Пртнеры выведут на рынок совместное решение, ориентированное, в первую очередь, на организации государственного сектора, которые предъявляют повышенные требования к защищенности и происхождению инфраструктурных решений.

Совместная разработка представляет собой программно-аппаратный комплекс, включающий систему для защиты от внутренних угроз Solar Dozor, развернутую на доверенных серверах Kraftway. Они могут находиться под управлением одной из сертифицированных отечественных операционных систем, в том числе Astra Linux Special Edition 1.5 (релиз «Смоленск»), «ГосЛинукс» или «Циркон 36К».

Для повышения уровня доверия к аппаратным средствам Kraftway разработал и претворяет в жизнь концепцию доверенной платформы. Повышенная защищенность серверов Kraftway достигается за счет использования в их архитектуре разработанных в России материнских плат, а также исходных кодов встроенного микропрограммного обеспечения ключевых узлов (BIOS материнских плат и прошивки микроконтроллеров). Средства защиты и контроля информации глубоко интегрируются в материнские платы на этапе проектирования и запускаются на самом начальном этапе работы устройств, до старта операционной системы, с гарантированным приоритетом исполнения над всеми другими аппаратными и программными функциями. На все серверы компании также устанавливаются специализированные программные средства собственной разработки для сбора и обработки информации о событиях безопасности и мониторинга и управления инфраструктурой. Производство оборудования на заводе в России с возможностью интеграции в производственный цикл специальных проверок и исследований сводит к нулю вероятность наличия в серверном оборудовании недекларированных возможностей и скрытых каналов управления.

«Государственные информационные системы превращаются во все более привлекательную мишень для киберпреступников, действующих дерзко и изощренно, – отметил Шумилов Максим, заместитель директора департамента развития бизнеса Kraftway. – В современных условиях решение вопросов информационной безопасности невозможно без учета уязвимостей, находящихся ниже уровня ОС, в микропрограммном обеспечении на системных платах, в прошивках микроконтроллеров. Программно-аппаратные комплексы, создаваемые на основе доверенных платформ Kraftway, лишены таких уязвимостей и обладают дополнительным функционалом для отражения низкоуровневых атак на информационную инфраструктуру. Поэтому использование в качестве аппаратной основы доверенного серверного оборудования Kraftway позволяет разработчикам ПО и интеграторам выводить на рынок современные, надежно функционирующие, протестированные комплексы, которые помогут государственным организациям и предприятиям создать действительно эффективную систему превентивной защиты конфиденциальной и секретной информации».

2016

На Solar Dozor и АМТ InfoDiode анонсирован ПАК для контроля коммуникаций сотрудников

В ноябре компании Solar Security и АМТ-ГРУП объявили о создании программно-аппаратного комплекса для контроля коммуникаций сотрудников и выявления ранних признаков корпоративного мошенничества в компаниях с изолированными защищенными средами. Решение реализовано на базе продуктов Solar Dozor и АМТ InfoDiode.

Разработка ориентирована, в первую очередь, на государственный сектор, в том числе, силовые структуры, промышленность, топливно-энергетический комплекс, а также коммерческие предприятия любых отраслей, использующие изолированные контуры сетевой инфраструктуры. Применение DLP-систем в таких организациях накладывает определенные ограничения на хранение и обработку анализируемых данных. Даже если сбор осуществляется в незащищенном контуре, анализ и хранение информации должны проводиться в закрытом периметре, недоступном извне. Это позволяет обеспечить надёжный контроль коммуникаций сотрудников и гарантированную конфиденциальность корпоративной информации.

Программно-аппаратный комплекс представляет собой решение Solar Dozor 6, развернутое в открытом и закрытом контурах на защищенных серверах InfoDiode, разделенных аппаратным однонаправленным шлюзом. Применение Solar Dozor 6 совместно с АМТ InfoDiode позволяет гарантировать защиту критичных сегментов от внешних угроз, и, следовательно, обеспечить беспрецедентный уровень защищенности при осуществлении контролируемой выгрузки/загрузки информации. Сбор и фильтрация данных осуществляется на обоих серверах, но все данные, полученные в открытом контуре, передаются в закрытый сегмент, где хранятся и обрабатываются.

Данные могут передаваться как по протоколам прикладного уровня (FTP, SMTP, CIFS и др.), так и по протоколам транспортного уровня (TCP, UDP). Решение состоит исключительно из российских компонент как в программной составляющей (в т.ч., российской сертифицированной операционной системы Astra Linux), так и в аппаратной части.

Solar Dozor 6.2

28 сентября 2016 года компания Solar Security объявила о выпуске релиза версии Solar Dozor 6.2.

В версии Solar Dozor 6.2, в дополнение к привычному рабочему столу аналитика, реализован функционал под названием «Рабочий стол руководителя». Это раздел панели управления, предоставляющий руководителю подразделения ИБ или бизнес-заказчику DLP-системы возможность получить необходимую информацию для анализа оперативной обстановки.

Основная задача этого программного решения — помощь начальнику ИБ-отдела в управлении подчинёнными, использующими Solar Dozor. Руководитель службы ИБ может увидеть на одном экране сводную информацию о количестве событий и инцидентов, о том, сколько из них обработано или в стадии рассмотрения, кто отвечает на разбор того или иного события, может просматривать данные последних отчетов, сформированных офицерами безопасности^[2].

Графические виджеты на рабочем столе руководителя дают более высокоуровневое и обобщенное представление о ситуации в компании, динамике числа инцидентов и уровне угроз. Виджеты сгруппированы так, чтобы предоставить руководителю службы ИБ необходимые данные для быстрой оценки и внесения корректив в работу аналитиков, разбирающих инциденты.

В этой версии Solar Dozor реализован поиск и отображение связанных сообщений мессенджеров в виде бесед. По мнению разработчиков, этот привычный и понятный способ представления позволяет оценить, является ли срабатывание системы инцидентом, упрощает и ускоряет проведение расследований.

Чтобы служба безопасности имела уверенность в подконтрольности рабочих станций сотрудников, Solar Dozor 6.2 отслеживает и отображает статус активности агентов. При просмотре списка персон, входящих в соответствующую группу, или карточки персоны, офицер безопасности получит информацию о наличии агента на рабочей станции и его активности.

Многие DLP-системы до сих пор остаются своеобразным «черным ящиком» для пользователей, они точечно уведомляют о событиях ИБ, но не помогают офицеру безопасности сформировать единую картину того, что происходит в организации. Мы заботимся о том, чтобы аналитика в Solar Dozor была прозрачной и понятной, и для этого постоянно работаем над улучшением отчетов. Рабочий стол руководителя является очередным шагом в этом направлении: он сводит воедино всю верхнеуровневую аналитику, обеспечивая полноту и целостность видения ситуации в компании.

Solar Dozor 6.1

Новым аналитическим инструментом Solar Dozor 6.1 является «Тепловая карта коммуникаций», которая визуализирует интенсивность коммуникаций сотрудников или движения информации, при этом интенсивность коммуникаций в разрезе каналов кодируется цветом. Данный инструмент дает офицеру по безопасности возможность быстро оценить обстановку, увидеть потенциальные риски и «горячие точки». Используя этот инструмент, офицер по безопасности может построить графическую карту по интересующему его информационному объекту или персоне.

Также расширен функционал по контролю пользователей через анализ скриншотов их рабочих мест. Снятие изображения с экрана пользователя может быть настроено по расписанию, по нажатию заданной последовательности клавиш, по активному пользовательскому окну или приложению, например, по нажатию PrintScreen в окне CRM, ERP-системы или конструкторского приложения. Все скриншоты теперь попадают в «Досье на персону». Для удобного отображения, поиска и визуализации база скриншотов представлена в виде привычной для пользователей современной галереи, поддерживающей всевозможные фильтры, например, название активного приложения. Реализована возможность получения списка процессов и приложений, запущенных на рабочей станции в момент снятия скриншота.

Ещё одним новым инструментом стала расширенная карта коммуникаций информационных объектов, содержащая статистику по всем коммуникациям, связанным с передачей и хранением информационных объектов за конкретный период времени. Ранее была доступна возможность посмотреть карту коммуникаций одного информационного объекта, в новой версии стала доступна карта категорий информационных объектов. В результате офицер по безопасности, оценив общую обстановку, может быстро, в один клик получить детализацию по заинтересовавшему его информационному объекту с возможностью перехода к конкретному сообщению.

Как и в предыдущих версиях, при разработке Solar Dozor 6.1 было уделено большое внимание системе отчетности. Результаты работы со всеми новыми инструментами доступны и в отчётах, которые можно просматривать как в веб-интерфейсе решения, так и выгружать в формате PDF и/или XML. Также есть возможность настроить рассылку отчётов на e-mail всем заинтересованным лицам по расписанию.

Продолжая курс на поддержку импортозамещения и возможностей использования свободно распространяемого ПО, в данной версии были расширены возможности применения PostgreSQL, первая поддержка которой была реализована еще в 2005 г. В частности, доработаны механизмы долгосрочного хранения больших массивов данных, не уступающие, по словам разработчиков, по объемам коммерческим СУБД.

В Solar Dozor 6.0 в 5 раз увеличена скорость распознавания изображений

В июне 2016 года Solar Security сообщила о существенном развитии модуля Solar Dozor OCR, разработанного на основе технологий распознавания текстов компании ABBYY. Данный модуль позволяет в рамках DLP-системы Solar Dozor контролировать поток конфиденциальных данных и предотвращать их утечку за счет распознавания текстовой информации в различных изображениях.

Количество передаваемой информации как вовне, так и внутри организаций постоянно растет, тем самым повышается риск утечки конфиденциальной информации. Solar Dozor OCR позволяет распознавать графические образы текста в файлах изображений, которые сотрудники могут передавать по сетевым каналам, отправлять на печать, копировать на внешние носители или сохранять на сетевых хранилищах. Применение данного модуля в рамках DLP-системы помогает организациям защитить конфиденциальные данные от утечки, даже если они были конвертированы в графику – распечатаны и отсканированы, сфотографированы, сохранены в PDF, сняты с экрана в виде скриншотов и т.д.

Увеличение потока передаваемой информации приводит к росту нагрузки на оборудование и, как следствие, к вынужденному расширению инфраструктуры на стороне заказчика. Поэтому сотрудниками Solar Security и ABBYY было принято решение о развитии модуля OCR в рамках DLP-системы Solar Dozor. Скорость распознавания модуля была увеличена в 5 раз по сравнению с его базовыми показателями, что позволяет обрабатывать изображения в информационном потоке объемом более 700 Гб в сутки, не замедляя при этом работу DLP-системы. Увеличения скорости удалось добиться за счет предварительной обработки изображений: модуль осуществляет коррекцию перекосов строк и их искажений, определяет верх и низ документа и изначально отраженный текст, а также позволяет распознавать многоколоночный текст.

Solar Security первой выпустила DLP-агент для контроля рабочих станций на Linux

Весной 2016 года Solar Security первой среди отечественных DLP-разработчиков выпустила на рынок модуль контроля рабочих станций Dozor Endpoint Agent for Linux, являющийся частью DLP-системы Solar Dozor 6.0, предназначенный для работы с Astra Linux и GosLinux (Гослинукс).

Разработка Dozor Endpoint Agent for Linux является важным этапом развития первой российской DLP-системы Solar Dozor 6.0. Создание модуля продиктовано прежде всего требованиями российского рынка, так как все большее количество организаций в рамках импортозамещения переходит на свободные ОС на базе Linux.

Dozor Endpoint Agent for Linux позволяет контролировать содержимое данных на съемных носителях, печать на локальных и сетевых принтерах, а также осуществляет аудит рабочих станций и подключенных сетевых хранилищ на предмет нарушения политик хранения конфиденциальных данных, используя контентные и контекстные атрибуты.

Модуль Dozor Endpoint Agent for Linux может использоваться в организациях, где есть повышенные требования к защищенным системам, в нем предусмотрена возможность блокировки передачи данных для эффективной защиты наиболее критичной информации.

2015

Solar Dozor 6.0

В сентябре 2015 года Solar Security сообщила о выпуске «принципиально новой» версии DLP-системы – Dozor 6.0. В компании отмечают, что она разрабатывалась с учетом изменений вектора работы корпоративных служб безопасности: по наблюдениям Solar Security, вместо борьбы с отдельными утечками конфиденциальной информации безопасники теперь все больше фокусируются на борьбе с внутренним мошенничеством, защите от нелояльных сотрудников и сотрудников из групп риска, способных нанести экономический ущерб работодателю.

Чтобы Dozor лучше подходил для решения этих задач, в нем была расширена аналитическая функциональность и поисковые возможности, а также переработан интерфейс в соответствии с новой логикой работы.

«При разработке новой версии Solar Dozor 6.0 специалистами компании была проведена обширная исследовательская работа, обобщившая практику использования более 100 инсталляций предыдущих версий системы, — говорят в Solar Security. — Результатом этой работы стало существенное обновление системы, которое позволяет пользователям Solar Dozor 6.0 выявлять, блокировать и расследовать не просто утечки конфиденциальной информации, а полноценно бороться со сложными схемами корпоративного мошенничества».

Аналитические возможности

В числе новых аналитических возможностей Dozor – возможность выявлять аномалии в поведении и в коммуникациях сотрудников (например, общение с нетипичными контактами), возможность анализа данных на основе OLAP и BI-технологий с мгновенной детализацией, подсказка следующих шагов при проведении расследований. Также в системе появился каталог выявленных мошеннических схем и их ранних признаков с отраслевой спецификой, который может помочь при анализе событий и инцидентов.

В новой версии Dozor существенно расширилась функция «досье»: в предыдущей версии программы можно было составлять «досье» только отдельно на каждого сотрудника и отдельно рассчитывать уровень доверия к каждому из них, вводя основную часть информации для этого вручную. В новой же версии продукта досье можно составлять и на группы сотрудников, а данные в систему могут подгружаться автоматически из внешних систем – HRM и системы проверки контрагентов. Технология построения уровня доверия сотрудника была также усовершенствована.

Помимо сотрудников, «досье» теперь можно составлять и на информационные объекты, под которыми понимается группа документов и информационных сообщений определенной тематики: например, протоколы совещаний, резюме стратегии и планы. Также в Dozor была добавлена возможность интеграции модуля аналитики, расследования и хранения с любой сторонней DLP-системой.

Поисковые возможности

По заявлениям разработчиков, обновленный Dozor способен осуществлять поиск со скоростью менее чем 1 сек. в архиве из 17 млн сообщений. По словам гендиректора Solar Security Игоря Ляпунова, ранее поиск мог занимать от нескольких минут до 30-40 минут, в зависимости от объема массива данных, по которым он осуществлялся.

Ляпунов пояснил, что компания провела исследование, что чаще ищут пользователи, каковы наиболее типичные поисковые запросы при тех или иных расследованиях, и по многим запросам создала готовые срезы данных. За счет этого до 85-90% запросов должны обрабатываться быстрым поиском, ожидают в Solar Security. Интерфейс поиска при этом теперь выполнен в стиле традиционных интернет-поисковых систем.

Интерфейс

Интерфейс Dozor 6.0 существенно отличается от интерфейса предшествующих версий системы: он приобрел «космический вид», а его основой является ситуационный центр по внутренним угрозам, позволяющий решать большинство оперативных задач в рамках единой информационной панели. позволяет м для дальнейшего мониторинга и реагирования.

Интерфейс Dozor 6.0 адаптирован под работу по двум основным сценариям: регулярный мониторинг оперативной обстановки и проведение расследований.

На единой информационной панели доступна информация по важнейшим результатам работы системы, таким как критичные события, персоны и группы особого контроля, защищаемые информационные объекты, аномалии в поведения сотрудников, а также сводная информация по существующим в данный момент угрозам. По задумке компании, это должно упростить сотрудникам служб безопасности мониторинг событий и позволить быстро оценивать оперативную обстановку и выделять приоритетные на текущий момент задачи.

В ситуационном центре Solar Dozor 6.0 также реализован кейс-менеджмент для управления жизненным циклом инцидента: система позволяет назначать ответственного за проведение расследования, контролировать его ход и видеть результат.

Ценовая политика

Говоря о стоимости лицензий Dozor 6.0, гендиректор Solar Security Игорь Ляпунов заявил TAdviser, что в среднем она осталась такой же, как для лицензий предыдущей версии продукта, однако по наиболее распространенным инсталляциям стоимость окажется несколько ниже: принимая во внимание сложную экономическую ситуацию в стране, компания внесла изменения в структуру лицензирования и оптимизировала продукт по цене.

2014

Дозор-Джет 5.0.4

18 сентября 2014 года компания «Инфосистемы Джет» объявила о выходе нового релиза программного комплекса «Дозор-Джет» 5.0.4. Ключевая особенность релиза — наличие инцидентной модели расследования. Обновленный управленческий интерфейс системы позволяет интерпретировать и визуализировать необходимые для расследования данные в удобной форме с различным уровнем детализации.

Инцидентная модель превращает DLP-систему в инструмент расследования фактов нарушения информационной и экономической безопасности, повышающий эффективность ИБ- и СБ-служб, позволяя им выявлять и пресекать факты мошенничества или коммерческого сговора сотрудников на начальных стадиях.

Новый функционал позволяет разбирать инциденты на трех уровнях:

• оперативный уровень: система автоматически ведет мониторинг и анализ всех корпоративных коммуникаций сотрудников, создавая инциденты по событиям ИБ и присваивая им необходимый уровень критичности. На основе этих данных также формируется уровень доверия к каждому сотруднику. Сотрудник ИБ или СБ на этом уровне может перенаправить отдельные инциденты для более глубокой проверки или же пометить инцидент как ошибочный;
• тактический уровень: аналитик ИБ имеет возможность напрямую из окна инцидента просматривать досье участников коммуникации, выполнять глубокий анализ и расследование инцидента, в том числе на основе выявленных системой внутренних взаимосвязей между участниками подозрительной коммуникации (как внутри компании, так и вовне). Результат работы — расследование и квалификация инцидента ИБ, выявление причастного к нему круга лиц. По итогам расследования формируется отчет для руководства;
• стратегический уровень предусматривает работу руководителя служб ИБ или СБ и бизнес-руководства по принятию управленческих решений на базе отчетов, создаваемых в системе.

Технологии, используемые в «Дозор-Джет», позволяют при возросшем объеме работ, выполняемых комплексом, сохранить высокую производительность системы фильтрации: поток данных перехватывается и анализируется на скорости до 10 Гбит/с.

«Этот релиз переводит продукт из классических ИБ-систем в класс бизнес-систем, используемых, в том числе, и для обеспечения экономической безопасности. После модуля „Досье сотрудников`, увеличения скорости разбора трафика и перехода к хранению данных по технологиям Big Data, реализованных в предыдущих релизах „Дозор-Джет`, логичным стало введение инцидентной модели расследований. Это закономерный шаг, позволяющий перейти к созданию масштабной системы расследований инцидентов ИБ и глубокой бизнес-аналитики корпоративных коммуникаций», — рассказал Игорь Ляпунов, директор Центра информационной безопасности компании «Инфосистемы Джет».

Дозор-Джет 5.0.2

16 июля 2014 года компания «Инфосистемы Джет» объявила о выходе релиза 5.0.2 комплекса защиты от утечек информации «Дозор-Джет».

Разработчики изменили конфигурацию комплекса: начиная с этой версии комплекс состоит из трех функциональных блоков, объединяющих 12 модулей в соответствии с типом решаемых задач.

Нововведения носят организационный характер − они затрагивают лицензирование и модульную компоновку и не касаются технической архитектуры решения: модули теперь сгруппированы согласно конкретным задачам защиты от утечек информации. В результате оптимизированы логика внедрения и эксплуатация продукта, а также расширены технологические возможности по дальнейшему наращиванию его функционала.

В соответствии с новой модульной структурой, изменилась лицензионная политика. Она вступила в силу с июля 2014 года и отличается большей прозрачностью и гибкостью.

«Более чем за 15 лет на рынке «Дозор-Джет» прошел путь от почтового архива до одного из самых зрелых DLP-решений на российском рынке. Функционал комплекса неоднократно обновлялся в соответствии с актуальными тенденциями рынка, однако его структура оставалась неизменной, − отметил Игорь Ляпунов, директор Центра информационной безопасности компании «Инфосистемы Джет». – В результате мы сталкивались со сложностями запуска новых возможностей в рамках не соответствующей им структуры. Стремясь усовершенствовать этот процесс, мы создали концептуально новую структуру продукта, на базе которой будем продолжать его развитие. Это повлияло и на изменение лицензионной политики. По сути, мы «перезапустили» «Дозор-Джет»».

Структура «Дозор-Джет» 5.0.2

• блок Dozor Monitor, предназначенный для ведения пассивного мониторинга и анализа корпоративных коммуникаций, включая проверку сообщений электронной почты, систем мгновенных сообщений, файлов и других данных на соответствие положениям внутренних политик использования интернет-ресурсов и внутренних информационных ресурсов компании. Также он обеспечивает расследование инцидентов в области информационной и экономической безопасности в корпоративных информационных средах;
• блок Dozor Prevent − обеспечивает активный контроль и защиту конфиденциальных данных, позволяя не только отследить, но и предотвратить утечку информации из корпоративной сети по различным каналам коммуникации;
• Dozor Full Archive — третий блок, объединяет средства расширенного архива и проведения расследований. Этот блок содержит элементы Artificial Intelligence (технологии обработки и поиска данных) и позволяет проводить сегментирование баз данных, поиск похожих документов, категорирование почтовых сообщений.

Блоки и модули комплекса могут комбинироваться и масштабироваться в соответствии с величиной организации (от компаний сектора SMB до крупных холдингов со сложной распределенной филиальной сетью).

2012

Дозор-Джет 5.0.1

В версии 5.0.1 реализован контроль средств облачного распространения и обмена файлами, таких как Dropbox, «Яндекс.Диск», SkyDrive – и этот список постоянно пополняется. Популярность облачных технологий дает богатейшие возможности для развития DLP, особенно если говорить о новых агентах, сетевом взаимодействии, потому что объемы этих данных огромны.^[3]

Один из основных и принципиально новый функционал, который появился в пятой версии, называется «Досье». Речь идет о сборе данных о людях, которых подозревают в инсайдерских действиях. Технология использует различные алгоритмы получения дополнительной информаций и ее обработки и строится на интеграции систем ИБ и иных ИТ-систем. DLP-решение стало одним из ключевых узлов в системе управления безопасностью и способно давать наиболее полные ответы на вопросы, интересующие офицера безопасности с позиции защиты корпоративной информации (Что это за человек? Что он делает? Что он делал вчера? Есть ли в его действиях что-либо подозрительное?).

Режимов поиска и извлечения информации в процессе анализа довольно много: это поиск по части совпадения либо по статистическим отметкам. Режимы поиска настраиваются по уровням точности, достоверности. Поиск по нечетким параметрам включает поиск и документов с заменой, и тех, которые являются компиляциями других известных документов. В новой версии продукта «Дозор-Джет» реализован механизм точного поиска конфиденциальных данных, который мы называем шаблонным документом. Он сократит количество ложных срабатываний.

Дозор-Джет 5.0

В ноябре 2012 года «Инфосистемы Джет» объявила о выходе версии 5.0 комплекса защиты от утечек информации «Дозор-Джет» 5.0, обладающей значительными усовершенствованиями. «Дозор-Джет» 5.0 отличается интуитивно понятным интерфейсом и повышенной до 10 Гбит/с производительностью системы фильтрации, а также наличием новых функциональных модулей. Существенно упрощена эксплуатация и оптимизированы процессы обработки результатов работы комплекса и расследования инцидентов.

Новый интерфейс комплекса «Дозор-Джет» 5.0 делает работу офицера ИБ с системой более удобной и наглядной. Например, стало возможным быстро сравнивать результаты нескольких запросов и оценивать состояние всего комплекса в режиме online. Управление распределенными системами комплекса осуществляется из единой точки через web-интерфейс. При этом обеспечиваются постоянный мониторинг работоспособности всех сервисов и по необходимости их автоматический перезапуск. Это существенно сокращает время, необходимое офицеру ИБ для обслуживания системы, и повышает её управляемость и надежность.

Производительность системы фильтрации новой версии комплекса увеличена более чем в два раза и позволяет перехватывать поток данных на скорости 10 Гбит/с. Благодаря портированию системы фильтрации комплекса на платформу Crossbeam можно гибко наращивать его производительность и обеспечивать необходимый уровень надежности и защищенности.

Алгоритмы обработки информации в пятой версии комплекса оптимизированы для работы со значительными массивами данных. В частности, применение гибридного хранилища данных в «Дозор-Джет» 5.0 позволяет хранить непосредственно в базах данных только «легкие» метаданные писем и индексы. «Тяжелые» данные (вложения и пр.) хранятся в файловом хранилище. За счет этого достигнуто 60%-ное сокращение занимаемого места на дисковой подсистеме по сравнению с прошлыми версиями комплекса, существенно увеличена скорость помещения данных в базу (в некоторых случаях зафиксирован стократный рост показателя). Также пятая версия комплекса позволяет более эффективно работать с историческими данными, подключая их необходимые блоки в автоматическом режиме и самостоятельно контролируя корректность этого процесса. Усовершенствование разграничения понятий «отправитель» и «адресат» сообщений позволяет в разы снизить допустимую погрешность при поиске необходимой информации в условиях множества различных источников сообщений.

Возможности системы расширены с помощью новых функциональных модулей. Благодаря модулю интеграции с BI-платформой QlikView комплекс «Дозор-Джет» 5.0 может эффективно использоваться для контроля исполнения бизнес-процессов компании, мониторинга уровня лояльности сотрудников, составления понятных бизнесу верхнеуровневых отчетов картины информационного обмена при одновременном упрощении работы офицеров ИБ.

Механизмы глубокого анализа данных в пятой версии комплекса «Дозор-Джет» дополнены инструментом, позволяющим вести поиск схожих по содержанию документов и получать целостную картину информационного обмена по определенной тематике. Этот подход реализован в специальном модуле, позволяющем офицеру ИБ с помощью пары кликов определять тематику обнаруженного документа любого объема за счет выделения наиболее типичных слов и фраз и осуществлять поиск похожей информации в накопленном архиве.

2011

Дозор-Джет 4.0.26

В версии системы «Дозор-Джет» 4.0.26 заложена возможность осуществлять мониторинг не только отправляемых, но и получаемых сообщений c почтовых систем Google, Mail и других сайтов. В то же время, специалисты компании «Инфосистемы Джет» завершили разработку новой версии специального агента для рабочих станций, который позволяет осуществлять контроль документов, распечатываемых на принтерах (локальных и сетевых), контроль двусторонней переписки, голосовых вызовов и передачи файлов по Skype.

Анализ неструктурированного текста — еще одна из новых возможностей. Система автоматически анализирует любой неструктурированный текст, находит в нем наиболее значимые слова и выражения и формирует их список. После этого система сравнивает этот список со словарями, например, коммерческой лексики. Это позволяет повысить точность срабатывания оповещения об утечке и тем самым увеличить производительность работы администратора, пояснили в «Инфосистемах Джет».

В данной версии комплекса «Дозор-Джет» также повышена эффективность метода «цифровых отпечатков», позволяющего находить в конфиденциальных документах совпадения с эталонными текстами или изображениями и отслеживать случаи несанкционированного использования критичной для бизнеса информации.

В части интересных для администраторов нововведений можно отметить более удобный, интуитивно понятный интерфейс и новый механизм самоконтроля системы. С его помощью автоматически определяется объем «свободного» места в базах данных, и можно задать правила очистки данных архива. При этом механизмы поиска по накопленной базе стали работать быстрее и точнее. Кроме того, работает новый механизм интеллектуального поиска: система самостоятельно распознает вводимые e-mail адреса и осуществляет поиск по адресу электронной почты, что ускоряет работу для администратора.

В числе важных нововведений следует отметить возможность интеграции с центром оперативного управления информационной безопасностью (Security Operations Center), что позволяет офицерам безопасности получать структурированную информацию о событиях ИБ в едином интерфейсе. Специалисты оценят и новую возможность комплекса работать с Oracle 11 R2 и Oracle Exadata Machine, а также использовать технологию Real Application Claster от Oracle, считают в «Инфосистемах Джет».

Помимо всего, в новую версию комплекса специалисты компании «Инфосистемы Джет» добавили возможность мониторинга корпоративной почты и системы документооборота на основе ПО Lotus-Notes, которая является востребованной для многих компаний на сегодняшний день.

Коннектор для интеграции «Дозор-Джет» и ArcSight

Компания «Инфосистемы Джет» разработала летом 2011 года специальный коннектор для интеграции системы класса SIEM (Security Information and Event Management) ArcSight и комплекса защиты от утечек информации «Дозор-Джет». С его помощью информация, полученная системой мониторинга событий ИБ ArcSight из DLP-системы «Дозор-Джет», будет оперативно поступать офицерам информационной безопасности. Это позволит компаниям минимизировать финансовые и репутационные риски, точно и оперативно выявляя события и инциденты, связанные с утечками информации, говорится в сообщении компании «Инфосистемы Джет».

Разработка коннектора проходила в несколько этапов. Сначала специалисты «Инфосистем Джет» выделили основные типы событий, для которых необходим централизованный сбор с помощью решений ArcSight. В качестве транспорта был выбран протокол syslog как наиболее удобный в реализации: используется стандартный syslog-коннектор, что позволяет обходиться без покупки дополнительных лицензий на систему мониторинга, пояснили в «Инфосистемах Джет». Далее коннектор был доработан и протестирован на стендах компании. По результатам тестирования дополнительно были написаны корреляционные правила и составлены консоли, призванные помочь администраторам безопасности в работе с системой. На завершающем этапе проведено нагрузочное тестирование, которое продемонстрировало способность коннектора обрабатывать поток событий от нескольких серверов одновременно.

«Мы внимательно следим за спросом, постоянно обновляя и совершенствуя функционал продукта, — отметил Кирилл Викторов, заместитель директора по развитию бизнеса компании «Инфосистемы Джет». — Большинство наших заказчиков нуждалось в единой точке сбора всех логов, и теперь объединить нашу систему с решением ArcSight можно без особых усилий».

«Это был довольно сложный, но вместе с тем интересный проект, — рассказал Артем Медведев, руководитель направления Центров оперативного управления ИБ компании «Инфосистемы Джет». — Любая компания, имеющая в арсенале систему мониторинга событий ИБ, рано или поздно задумывается о необходимости ее объединения с DLP-решением. Мы на практике убедились, что интеграцию продуктов ArcSight можно провести фактически с любым приложением».

Примечания

Solar Dozor — система для предотвращения утечек конфиденциальной информации (Data Leak Prevention, DLP). Ее возможности обеспечивают контроль коммуникаций сотрудников, блокировку или изменение нежелательных сообщений, выявление и мониторинг групп риска, а также ретроспективный анализ архива коммуникаций для проведения расследований. Кроме этого, Solar Dozor может анализировать поведение пользователей (User Behavior Analytics), что позволяет выявлять аномалии поведения, круг общения и приватные контакты сотрудников, а также профилировать их на основе 19 устойчивых паттернов поведения.

В Solar Dozor реализована современная концепция обеспечения внутренней безопасности организации — People-Centric Security. В ее основе — концентрация внимания службы безопасности не на движении информации, а на сотрудниках, их связях и поведении. Такой подход значительно снижает количество ложных срабатываний и отвлекающих уведомлений. В результате офицеры безопасности могут сосредоточиться на расследовании и профилактике критических инцидентов.

Если организация состоит из нескольких дочерних зависимых обществ или территориально-распределенных филиалов, инсталляции Solar Dozor могут работать как единое целое (функции модуля MultiDozor). Это дает возможность:

• в режиме реального времени получать и обрабатывать данные по всей компании или отдельным подразделениям;
• контролировать деятельность всех пользователей DLP-системы;
• выполнять централизованный мониторинг групп особого контроля;
• проводить сквозные расследования в масштабе компании;
• централизованно управлять системой и распространять политику безопасности в филиалы.

Пользователи Solar Dozor — представители служб информационной, экономической и собственной безопасности средних и крупных коммерческих и государственных организаций, нуждающиеся в инструментах для контроля коммуникаций и предотвращения утечек, а также выявления корпоративного мошенничества, конфликтов интересов, взяточничества, сговоров, прямых или косвенных хищений денежных средств, шпионажа.

Предотвращение утечек конфиденциальной информации

Для защиты от утечек конфиденциальной информации Solar Dozor использует специализированные модули-перехватчики. Они собирают и передают на анализ все сообщения сотрудников, контролируют действия пользователей на персональных компьютерах, а также проверяют локальные и облачные файловые ресурсы.

Защищаемая информация может быть представлена в текстовом, графическом или бинарном виде: как сообщения в электронной почте, мессенджерах, веб-ресурсах и социальных сетях, технические чертежи САПР, документы Microsoft Office, отсканированные счета, голосовые сообщения, видеофайлы, архивы и т. д.

Перехваченные данные анализируются в основном модуле Solar Dozor с помощью комплекса настраиваемых правил, отражающих актуальные задачи безопасности организации. По результатам анализа принимается решение о блокировке нежелательного действия или уведомлении офицеров безопасности о подозрительном поведении.

В отличие от ряда решений, позиционирующих себя как DLP-системы, но по факту ими не являющихся, Solar Dozor может ставиться в разрыв трафика. Это позволяет надежно блокировать передачу конфиденциальной информации в реальном времени, а не просто констатировать факт утечки.

Анализ поведения пользователей

Анализ действий сотрудников и контрагентов может стать для офицера безопасности главным источником признаков зарождающихся угроз. Перед совершением преступления любой злоумышленник проводит подготовительные действия и неосознанно оставляет следы, которые являются отклонением от нормы. Solar Dozor легко отслеживает такое поведение, своевременно замечая аномалии в поведении сотрудников.

Специальные виджеты представляют быстрый доступ к информации по сотрудникам, входящим в группы особого контроля (на испытательном сроке, на увольнение и т. д.) или у которых было зафиксировано аномальное поведение.

С модулем UBA, реализованном в Solar Dozor 7, система может анализировать действия пользователей автоматически, что открывает перед офицерами безопасности новые возможности. В их число входят выявление аномалий в поведении, круга общения и приватных контактов, а также профилирование сотрудников в соответствии с устойчивыми паттернами поведения. Эти возможности позволяют работать с рисками превентивно, вовремя принимая соответствующие меры.

Проведение расследований

Вся собранная Solar Dozor информация может помещаться в архив и использоваться для расследования инцидентов ИБ и работы службы собственной и экономической безопасности. При необходимости возможна перефильтрация архива для ретроспективного анализа ранее накопленных данные по вновь открывшимся обстоятельствам и нахождения ранее пропущенных инцидентов.

Качество расследований в компаниях, имеющих сеть филиалов, может быть улучшено за счет использования возможностей работы в филиальной структуре (модуль MultiDozor). Благодаря единому досье возможно осуществлять мониторинг групп особого контроля и проводить сквозные расследования по всей сети филиалов. Solar Dozor может интегрироваться с внешними ИТ-системами, такими как SIEM, HRM, MDM, IdM/IGA, для получения контекстной информации о сотрудниках и инцидентах.

Технология быстрого поиска, аналогичная поисковикам Яндекс или Google, позволяет за секунды находить нужные сообщения и инциденты безопасности — поиск в архиве на 17 млн сообщений занимает 1 секунду. При этом не нужно составлять сложные поисковые запросы, требующие наличия профильного ИТ- или ИБ-образования — при начале ввода имени или части адреса Solar Dozor сразу отображает список сотрудников, данные которых содержат вводимые символы.

Это дает возможность работать с системой специалистам служб экономической и собственной безопасности организации, комплаенса, внутреннего контроля, HR-департамента и т. д. В системе также реализованы поисковые шаблоны, отражающие многолетний опыт использования Solar Dozor в различных организациях России.

Вся информация о сотрудниках и внешних контактах концентрируется в специализированном разделе интерфейса — «Досье на персону». В нем сосредоточены все данные по активности персоны и инструменты для более глубокого анализа: граф связей, библиотека скриншотов, информация об активности на рабочем месте, используемых приложениях, веб-ресурсах и устройствах, а также данные об аномальном поведении. На основе информации в «Досье» можно мгновенно создать сводный отчет по персоне за требуемый период и отобразить его в веб-интерфейсе или выгрузить в PDF-файл для печати.

Единый интерфейс Solar Dozor позволяет мгновенно переходить к интересующему событию или документу (концепция drill-down — «углубление в данные»), что дает возможность оперативно анализировать обстановку, проводить сложные расследования и минимизировать ошибки, связанные с человеческим фактором. Возможна интеграция с внешними ИТ-системами, такими как SIEM, HRM, MDM, IdM, для получения контекстной информации о сотрудниках и инцидентах.

Работа в территориально-распределенном режиме

Для решения задач офицеров безопасности крупных территориально-распределенных организаций с филиальной сетью в Solar Dozor 7.2 был реализован новый модуль — MultiDozor. Он объединяет разрозненные инсталляции Solar Dozor в единую логическую структуру, предоставляя офицерам безопасности принципиально новые инструменты и возможности для обеспечения информационной и экономической безопасности организации. Например, MultiDozor позволяет в режиме реального времени централизованно контролировать процессы, получать аналитику и мониторить группы особого контроля в разрезе всей организации. Не менее важная функция, которую не могут предоставить другие DLP-системы — сквозные расследования по всей сети филиалов.

Работа с создаваемыми событиями и инцидентами, а также их хранение осуществляются централизованно. Сбор данных осуществляется локально в филиалах с помощью агентов на рабочих местах пользователей (Dozor Endpoint Agent). MultiDozor позволяет передавать собранные данные на общекорпоративные ресурсы для централизованного анализа и хранения.

Кроме этого, MultiDozor позволяет централизованно настраивать и распространять политики безопасности в филиалы компании. Это значительно облегчает управление системой и экономит ценное время, которое можно потратить на разбор инцидентов и проведение расследований.

Система позволяет вести централизованный контроль пользователей — офицеров безопасности, работающих в филиалах — за счет использования журнала регистрации действий.

Тотальная переделка продукта по ощущениям равна двум пожарам и трем потопам. То есть решиться на такое можно лишь по очень веским причинам. Так вот к началу 2018 года необходимость таких изменений команда разработки агента для мониторинга рабочих станций Dozor Endpoint Agent уже просто не могла игнорировать. Система развертывания и управления агентами морально устарела и перестала как-либо коррелировать с общим для всех продуктов компании подходом к управлению «из одного окна». Что подтолкнуло к «перестройке», и что в итоге получили заказчики, расскажем ниже, честно и по существу.

Было. Standalone-ПО

До момента глобальной переработки, реализованной в течение 2018 года, endpoint-агент для мониторинга рабочих станций представлял собой ПО, управлявшееся специальной программой под Windows – «Центром приложений». Центр никак не был связан с флагманской DLP-системой, серверная часть которой функционирует на базе Linux. Программа имела минимальный набор возможностей для распространения, обновления endpoint-агентов на рабочих станциях и самой базовой диагностики их состояния.

«Центр приложений» требовал установки на Windows-машину – либо на отдельную рабочую станцию, либо же безопаснику необходимо было установить продукт на свой компьютер. При этом программа отъедала достаточно много ресурсов, требовала индивидуальных настроек, работы в отдельном окне и могла мешать основной деятельности ИБ-специалиста.

Не входя в состав модулей Solar Dozor, Центр попросту не мог вписаться в общую для всех продуктов семейства DLP концепцию централизованного управления из единого интерфейса. Ведь изначально «Центр приложений» разрабатывался как универсальное ПО для удаленного распространения любых клиентских программ на рабочих станциях сети и никак не был адаптирован для фокусных целей защиты от утечек. Уже не говоря о необходимости ведения отдельной линии разработки, технической поддержки и т.п.

Упрощенно эксплуатация «Центра приложений» для развертывания endpoint-агентов в старой реализации выглядела следующим образом. Центр устанавливался на рабочую станцию безопасника, распространял агенты на всех компьютерах пользователей; агенты собирали данные с пользовательских рабочих станций и направляли их на анализ в DLP-систему. Информация о результатах диагностики состояния агентов, статусах установки и т.п. была доступна лишь в самом «Центре приложений» на рабочем компьютере безопасника. А значимые для информационной безопасности данные с рабочих станций пользователей можно было посмотреть только в интерфейсе DLP-системы Solar Dozor. Для заказчика такая схема, конечно, была неудобной. Так мы пришли к выводу, что схему управления агентами надо менять и фактически полностью переписали морально устаревшее приложение.

Cтало. Управление через интерфейс DLP-системы

После «капитального ремонта» новый модуль Dozor Endpoint Agent вошел в состав единой модульной системы защиты от утечек Solar Dozor. Модуль размещается на сервере, а управление им осуществляется из единого интерфейса DLP-системы наравне с любым другим функциональным модулем Solar Dozor. Через единый интерфейс ИБ-специалист может установить агенты на компьютеры пользователей, настроить их работу и одновременно контролировать положение дел с конфиденциальной информацией на всех рабочих станциях сети.

Старый Центр приложений умел устанавливать агенты на рабочие станции лишь одним способом – с помощью устаревшего инструмента WMI. Напомним, Windows Management Instrumentation – одна из базовых технологий для централизованного управления и слежения за работой различных частей компьютерной инфраструктуры под управлением платформы Windows.

Но технологии не стоят на месте, и, изучив инфраструктурные возможности заказчиков, мы сформулировали для себя оптимальный набор опций распространения endpoint-агента. Переработанный модуль может устанавливаться через материнскую DLP-систему тремя различными способами, не считая внешнюю установку через смежные системы (антивирусы и др.) Можно по своему желанию выбрать наиболее удобный способ в зависимости от специфики организации и ее ИТ-инфраструктуры, регламентов использования тех или иных технических средств. При этом агенты, установленные на рабочих станциях не через DLP-систему, сразу же появляются в интерфейсе Solar Dozor и начинают поставлять в него информацию.

Как можно развернуть Dozor Endpoint Agent сейчас

С помощью специальной функции Solar Dozor – сервиса software-center, который позволяет централизованно управлять агентами (устанавливать/настраивать/обновлять/удалять), а также отслеживать состояние агентов без использования дополнительных программных средств. Через этот сервис агент можно распространять с помощью службы WinRM или с использованием административного доступа к удаленным ресурсам по протоколу SMB. Данный способ установки предпочтителен для компаний, в которых службы WinRM доступны для конфигурирования на каждой рабочей станции, где планируется развертывание Dozor Endpoint Agent.

Средствами групповой политики – GPO/Group Policy Object, которые являются стандартными средствами ОС Windows. С помощью групповой политики выполняются настройки рабочих станций и параметров пользователей в сетях на основе доменных служб ActiveDirectory. Этот вариант подойдет для компаний, в которых службы WinRM недоступны для конфигурирования и нет возможности для их включения и настройки.

Параметры групповой политики можно настроить и локально, но локальная групповая политика требует работы с каждым компьютером по отдельности, что затруднительно для больших сред.

Посредством System Center Configuration Manager (SCCM), продукта для управления ИТ-инфраструктурой на основе MS Windows, предназначенного для конфигурирования серверов и рабочих станций. Этим путем лучше пойти, если SCCM является основным средством распространения ПО в компании.

Преимущества управления через интерфейс DLP-системы

Во-первых, при распространении через DLP-систему можно увидеть этапы установки агентов. Сначала устанавливается средство развертывания, которое выкачивает весь дистрибутив Dozor Endpoint Agent и стандартно устанавливает агенты на необходимом количестве рабочих станций как Windows-приложение. ИБ-специалист может посмотреть централизованно в интерфейсе Solar Dozor детальный статус установки агентов на каждой рабочей станции. Кроме того, в случае прихода в компанию новых сотрудников можно непосредственно в интерфейсе Solar Dozor быстро и просто добавить рабочие станции разными способами – по имени станции, по IP, из списка в Active Directory – и сразу же установить на них endpoint-агент.

В ближайшем будущем планируется реализация централизованной установки Linux-агента. С помощью старого «Центра приложений» установить Linux-агент было невозможно, поскольку Центр был привязан к средствам Windows.

Во-вторых, через интерфейс DLP-системы Solar Dozor реализовано эффективное и гибкое управление огромным количеством агентов, а также мониторинг их состояния для организаций уровня large enterprise, с компьютерным парком от десятков до сотен тысяч единиц. На таких огромных объемах просто-напросто невозможно осуществлять ручное управление отдельными рабочими станциями и мониторинг состояния агентских модулей на них.

В-третьих, в DLP-системе Solar Dozor довольно давно появилась система продвинутой аналитики, позволяющая быстро получать значимую с точки зрения ИБ информацию по различным готовым срезам данных. Для ее реализации мы провели основательное исследование, какие именно срезы и инструменты быстрой работы с событиями, инцидентами, информационными объектами, персонами и т.п. особенно важны для служб ИБ. Система также подсказывает пользователю, с помощью каких срезов можно решить его задачу эффективнее.

Соответственно, в части управления агентами в системе представлены следующие готовые срезы данных, подсчет по которым производится в режиме онлайн.

1. Появились срезы по Статусам агентов на компьютерах – «агент недоступен», «в стадии развертывания», «в стадии обновления» и т.д.

В отдельную группу вынесены Проблемы, которые испытывают агенты на рабочих станциях – «не доступны средства развертывания», «неактуальные политики» (агента на конкретной рабочей станции) и т.д. Ведь мало просто развернуть агент на рабочей станции – надо на него распространить актуальную политику безопасности. После обновления политики надо автоматически распространить ее на все агенты. При этом рабочие станции и DLP-система взаимодействуют в асинхронном режиме. Например, DLP-система самостоятельно не может понять, почему агент на рабочей станции не доступен в тот или иной промежуток времени. Рабочая станция может быть выключена, если сотрудник в отпуске, или находиться вне сети, если сотрудник в командировке, и т.п. Поэтому в endpoint-агенте была реализована некоторая модель здоровья, которая сообщает DLP-системе о текущем состоянии агента по определенному набору признаков. Развитие функциональности модели здоровья – одна из значимых точек роста Dozor Endpoint Agent.

2. Появилась возможность объединения агентов в различные группы с возможностью задания разных конфигураций и политик для разных групп.

Например, рабочие станции сотрудников, находящихся на особом контроле у службы безопасности (сотрудники на испытательном сроке, увольняющиеся и т.п.), можно объединять в так называемые Группы особого контроля.

Ведь у системы мониторинга рабочих станций – широчайший спектр возможностей, и если мы будем применять все эти возможности на всех 200 тысячах рабочих станций предприятия-гиганта, никаких инфраструктурных мощностей не хватит. Кроме того, этот огромный массив событий надо будет обрабатывать, принимать по ним решения. Поэтому разумно к основной массе относительно доверенных сотрудников применять общий набор политик. А полный набор политик безопасности использовать лишь в отношении отдельных групп рабочих станций, которые должны находиться под особенно серьезным контролем.

3. Можно осуществлять мониторинг состояния агентов на рабочих станциях и с помощью Организационно-штатной структуры компании, отображаемой в панели управления агентами в Solar Dozor.

4. Отдельно в панель управления агентами выведена Настройка дистрибутивов. Эта опция позволяет установить новый дистрибутив агента на ограниченное число рабочих станций и понаблюдать за его работой в пробном режиме. Все-таки на рабочих станциях могут быть установлены разные операционные системы, с разной разрядностью, специфическое программное обеспечение и т.п. Поэтому хорошо иметь возможность проверить, как на них отработает новая версия, прежде чем разворачивать агенты на весь компьютерный парк.

5. В разделе Станции представлена полная информация обо всем жизненном цикле агента на конкретной рабочей станции. Когда был установлен (дата и точное время), в какой конфигурации, когда обновлялся, когда обновлялись политики, были ли сбои, возможные причины сбоев, текущее состояние, история состояний, все пользователи рабочей станции и многое другое. Таким образом, полная история событий на рабочей станции доступна для ретроспективного анализа.

6. Кроме того, ко всем разделам можно применить расширенный набор фильтров: на большом числе агентов сделать выборку рабочих станций по доменам, пользователям, хостам, нахождению в сети, операционным системам и многому другому. То есть отфильтровать рабочие станции по интересующим нас параметрам.

Таким образом, новая система управления endpoint-агентами в интерфейсе Solar Dozor, с широким набором готовых срезов и фильтров позволяет специалисту по информационной безопасности осуществлять оперативную работу с большим количеством собираемых агентом данных. С помощью этого инструментария можно быстро определить проблемные станции сети, с которыми надо поработать в первую очередь.

Автор: Алексей Соловьев, руководитель отдела развития Solar Dozor компании «Ростелеком-Солар»