Solar dozor руководство администратора

Время на прочтение
4 мин

Количество просмотров 7.9K

За время работы с Дозором мы видели всякое. Но неизменно одно – при первой встрече система мало кого оставляет равнодушным. Одна группа клиентов встречает демонстрацию словами: «Ну наконец-то! DLP, где всё просто и наглядно!». Однако они ошибаются. Другая чем-то вроде «Да это игрушка какая-то. Для нас будет недостаточно мощным». Но и они ошибаются. Так что же там, за звёздами?

Как и в предыдущей статье, вопросы технических требований, стабильности и полноты контроля оставим за скобками. Зоопарк ПО, масштабы и задачи у всех разные, а DLP – штука тонкой душевной организации. В итоге, про какого вендора на площади ни крикни, первыми прибегут те, у кого «упало», «тормозило», «не смогло». [И так уж совпало, что мы как раз готовы помочь – «поднять», «ускорить» и «оттюнить». Но это уже совсем другая история.]

Вернёмся к тому, что, как и любая информационная система, Dozor старается балансировать между мощью и простотой. Да так, чтобы обе составляющих выкрутить на максимум. Вот только возможно ли это?

Встречает нас простота – дашборд. Всё красиво, наглядно, в картинках. Дашборд руководителя – вообще сказка – тренды по нарушениям, ТОП нарушителей, оценка нагрузки на команду. Но что за этим стоит, откуда весь этот контент?

1. Рабочий стол (дашборд)

2. Рабочий стол руководителя

В основе всего лежит принцип оперирования информационными объектами. И вот он, момент, где функционал вытесняет наглядность. У нас довольно большая команда и после первого знакомства с системой мы потратили кучу времени, слайдов и фломастеров, чтобы понять, что же здесь творится. Если коротко и упрощая, система при помощи политики, состоящей из правил, оперирующих информационными объектами, заданными критериями с возможностью использования шаблонов, создаёт из сообщений события, имеющие возможность стать инцидентами.

3. На каком ты сейчас уровне?

Немного пугает, правда? Хорошая новость – для работы с системой в этом разбираться не обязательно. По крайней мере, всей команде. Найдите/наймите/арендуйте человека, который это всё настроит. Для всех остальных пусть самолётом управляет магия.

4. Схема выявления критичной информации

Самое главное, что из потока информации система создаёт «события» – уведомления о том, что вероятно что-то не в порядке. А дальше снова красота. У события есть красивая карточка, где кратко описано, кто, что и каким способом натворил. Для простоты карточки ранжируются по критичности и типу действий (снова магия). Остаётся внимательно на неё посмотреть и проверить, правильно ли заклинание сработало.

5. События в системе

В один клик отдаём неправильное нашему чародею на «допил», а правильное фиксируем как инцидент. Зафиксировали? Кричим в соседний кабинет: «Коллеги, примите в работу!». А нет, система просит назначить ответственного. Назначаем – самый ответственный получает уведомление. В итоге у каждого события есть статус, а у каждого инцидента – ответственный. Ничего не потеряли. Статусы система учла и считает те самые тренды. Красота.

На что ещё способна эта магия? Прерывать процесс передачи данных, если они классифицированы как информационный объект. Выдавать предупреждения о потенциальном нарушении (по тому же принципу). Приостанавливать почту в карантин (и сразу же уведомлять об этом на дашборде). Модифицировать письма, убирая критичные объекты. Распределять нарушителей в группы особого контроля.

С основной рутиной разобрались. Дальше – заглянуть в прошлое – поиск. И снова нас встречает красота – простой поиск. Привычными движениями «гуглим» информацию в строке поиска. Не хватает? Переходим в режим расширенного поиска. И снова наглядность нас покидает. Множество доступных для поиска атрибутов – хорошо, но попробуйте сходу отличить «отправитель» от «персона» или «источник» или даже «персона-источник». Так ещё логические операции выполняются в не самом очевидном порядке. Сложно. А вот умный поиск хорош – позволяет найти похожие файлы среди всех коммуникаций – всего пара кнопок, а какой простор для творчества.

6. Умный поиск

Досье. Снова красота. Вся информация по персоне так ещё и вся статистика по нарушениям (снова магия информационных объектов). Граф связей в комплекте, правда, ни красотой, ни мощью не отличается.

7. Пример досье

Отчеты. Выбор, конечно, не богат. Но вот «Тепловая карта коммуникаций» – очень полезная штука. Мало кто сходу сможет сказать, в каких подразделениях какая информация обрабатывается. А зачастую сложно даже определить, где какими каналами коммуникаций пользуются. Вот здесь и поможет тепловая карта. Вся активность выбранной группы сотрудников будет распределена по категориям, а дальше делаем выводы: какие действия норма, а какие – аномалия.

8. Тепловая карта

Полезно на старте настройки, пригодится и в дальнейшей работе. Остальные отчеты скорее для возможности передать коллегам/руководству всё то, что мы сами видим в различных разделах системы.

В итоге.

Там, за звёздами, темно и страшно. Возможно, когда-то красота доберётся и туда. А может это и нереально – сделать сложное совсем уж простым. Но пока вглубь системы рекомендуем отправлять туда только специально обученных людей с запасом жизненно необходимых мануалов.

9. Группа настройки

А вот оставшихся на поверхности ждет одна из самых дружелюбных систем.

Николай Постнов, руководитель направления конфигурирования Блока DLP компании Infosecurity a Softline Company.

1. Введение

2. Системные требования

3. Контроль коммуникаций

4. Особенности Solar Dozor 6.1

5. Ситуационный центр

6. Управление событиями и инцидентами

7. Аналитический инструментарий

8. Контроль информационных объектов

9. Досье на сотрудников

10. Галерея скриншотов рабочего стола 

11. Граф взаимосвязей сотрудников

12. Уровень доверия к сотрудникам

13. Группы риска

14. Поиск по архиву событий и инцидентам в Solar Dozor 6.1

15. Отчеты

16. Тепловая карты коммуникаций

17. Выводы

Введение

На протяжении многих лет ключевой функцией любой DLP-системы была возможность контролировать выход защищаемой информации за периметр организации. В центре внимания сначала были электронная почта, USB, интернет-мессенджеры и т. д. Постепенно критерием зрелости DLP-системы стало число каналов передачи данных, которые она способна контролировать. В результате этого в фокусе внимания информационной безопасности оказывались инциденты, на которые срабатывала политика безопасности. Но, как показала практика, такой подход был эффективен в большей степени для выявления случайных утечек информации. Собственно, многие производители DLP-решений честно позиционировали свои продукты именно как системы предотвращения случайных утечек.

При таком использовании фиксация целенаправленных внутренних угроз, прежде всего, корпоративного мошенничества, оставалась делом случая. Вот и получилось, что сами утечки информации могли выступать только сигналом к проведению полномасштабного расследования, которое фактически начиналось с большим опозданием. Требовался новый подход, который позволил бы действительно эффективно использовать информацию, накопленную в DLP, ведь именно с помощью последующего разбора инцидента удается понять причины и следствия действий нарушителей, выявить круг причастных лиц и собрать необходимые доказательства.

В результате на первый план вышли уже не только технологии перехвата трафика, но и создание долгосрочного архива перехваченной информации, а также аналитические инструменты для работы с большими объемами накопленных в DLP-системе данных. Именно к таким выводам пришла команда Solar Dozor после проведения масштабного исследования, которое включало в себя общение с DLP-практиками и анализ лучших подходов служб информационной безопасности к расследованию инцидентов.

Исходя из предпосылок, выявленных в ходе опроса ИБ-специалистов, в новой версии Solar Dozor был сделан упор на изменение принципа работы с системой. Был кардинально переработан интерфейс, который стал удобным инструментом для оперативного мониторинга и разбора инцидентов. Продвинутые аналитические возможности системы и действительно быстрый поиск по архиву помогают офицерам информационной безопасности работать с большими объемами информации и выявлять ключевые направления расследования. Таким образом, новая версия Solar Dozor позволяет не только бороться с утечками информации, но и дает огромный набор возможностей и методологических подходов для выявления признаков корпоративного мошенничества. Обо всем этом и пойдет речь в нашем обзоре.

Системные требования Solar Dozor 6.1

Минимальная установка
Для минимальной установки достаточно одного или двух узлов со следующей конфигурацией:

• Количество ядер — 6
• Тактовая частота — 2.2 ГГц
• Объем оперативной памяти — 24 ГБ
• Объем жесткого диска — 600 ГБ

Крупная установка
Для крупных установок рекомендуется использовать следующую конфигурацию
оборудования:

• Количество ядер — 16
• Тактовая частота — 2.2 ГГц
• Объем оперативной памяти — 40 ГБ
• Объем жесткого диска — 1 ТБ

В дополнение к указанному размеру системы хранения рекомендуется использовать дисковые полки или СХД для хранения баз данных и для долговременного файлового хранилища.

Требования к инфраструктуре
Для поддержания нормальной работоспособности Solar Dozor инфраструктура должна соответствовать следующим требованиям:

• Наличие доступа в интернет.
• Наличие DNS-сервера (желательно), почтового сервера и сервера точного времени.
• Сеть должна пропускать трафик между компонентами Solar Dozor в соответствии с матрицей доступа.

Необходимое ПО для установки
Для установки Solar Dozor необходимо наличие следующего ПО:

• ОС RHEL/CentOS версии 6.7.
• Дистрибутив Solar Dozor.
• Обновления ОС (доступ в интернет или к локальной копии).
• SSH-клиент.
• Лицензия на Solar Dozor.
• СУБД на выбор: Oracle Database Enterprise Edition или PostgreSQL.

Требования к аппаратному обеспечению контролируемых рабочих станций
Для установки и эффективной работы агента Solar Dozor рекомендуется следующая конфигурация рабочей станции:

• CPU — не менее 2-ядерного.
• ОЗУ — 2 ГБ (Windows), 1 ГБ (Linux).
• Свободное место в системном разделе жесткого диска — 50 ГБ (Windows), 10 ГБ (Linux).

Агент Solar Dozor функционирует под управлением операционных систем:

• Windows XP 32 bit
• Windows 7 32/64 bit
• Windows 8 32/64 bit
• Windows Server 2003 32 bit
• Windows Server 2008 64 bit
• Windows Server 2012 32/64 bit
• Astra Linux v. 1.4

Контроль коммуникаций в Solar Dozor 6.1

Solar Dozor 6.1 как классическая DLP-система обеспечивает перехват по широкому спектру каналов передачи данных, закрывая все самые хитроумные лазейки.

В зависимости от технической возможности и требований производительности для каждого канала подобрана оптимальная точка сбора трафика — на сетевом шлюзе, прокси-сервере или рабочей станции.

Solar Dozor совместим с любым прокси-сервером, а также может поставляться с собственным модулем Dozor Web Proxy. Кроме этого, Dozor Web Proxy может использоваться как самостоятельное решение для защиты от рисков, связанных с использованием веб-ресурсов.

Solar Dozor покрывает все самые популярные каналы передачи данных и обеспечивает мониторинг и контроль коммуникаций по электронной почте, через интернет-ресурсы, в мессенджерах, а также отслеживает активности сотрудников на их рабочих станциях и проводит аудит хранилищ информации.

Рисунок 1. Каналы перехвата Solar Dozor

Solar Dozor 6.1 в зависимости от задач заказчика может работать как в режиме мониторинга, так и в режиме блокировки передачи данных. Таким образом, решение способно не только фиксировать нарушения, но и в случае необходимости предотвратить кражу конфиденциальных данных. Кроме этого, система может вносить изменения в содержимое пересылаемого сообщения или вложения — исключать или заменять информацию. А чтобы привить сотрудникам культуру обращения с конфиденциальными данными, Solar Dozor выводит пользователю окно с предупреждением, если тот нарушил политику безопасности.

На данный момент Solar Dozor является единственным отечественным DLP-решением, имеющим агентский модуль для ОС Linux, что является неоспоримым преимуществом для организаций, перешедших на СПО.

Также из функционала агента стоит отметить контроль буфера обмена и снимки рабочего стола. Хотя эти инструменты реализованы не у всех производителей DLP-систем, по факту они давно стали необходимыми и выручают офицера безопаности при проведении расследований.

Особенности Solar Dozor 6.1

Создатели любого программного продукта в свое время проходят один и тот же путь быстрого наращивания функционала для удовлетворения потребностей растущего рынка. Но в один прекрасный момент оказывается, что пользователь вырабатывает для себя лучшие практики решения своих задач, оперируя достаточно простыми функциями, которые составляют не более 10% от всех заявленных возможностей продукта. Аналогичная ситуация произошла и с DLP-системами.

На практике оказывается, что офицер информационной безопасности уделяет работе с решением в среднем 2 часа в день. За это время безопасник должен понять, что произошло с момента последней сессии работы с системой и какие события требуют незамедлительной реакции. Чтобы специалист мог выполнить все задуманное в срок, разработчики Solar Dozor 6.1 сконцентрировались на принципах простоты работы с интерфейсом, быстроте и удобстве взаимодействия с системой при каждодневном применении.

Одним из основных принципов организации нового интерфейса является наличие необходимых срезов данных для решения стандартных задач, без построения поисковых запросов и отчетов. В новой версии Solar Dozor был сделан упор на максимальную автоматизацию процессов: все самые важные функции всегда оказываются под рукой, а сквозной drill-down-подход позволяет быстро получить всю необходимую информацию.

Чтобы облегчить жизнь безопасника, создатели Solar Dozor включили в поставку отраслевые настройки, позволяющие быстрее разворачивать решение и получать первые результаты без сложной конфигурации. В целом при эксплуатации системы заметны мелкие, но приятные функции, в которых прослеживается забота о пользователе: это и предикативный набор при поиске, и подсказки следующего шага при проведении расследований. В общем, решение стало удобным и эффективным инструментом расследования и принятия решений по инцидентам информационной и экономической безопасности.

Ситуационный центр в Solar Dozor 6.1

Первым интерфейсом, который видит офицер информационной безопасности в Solar Dozor, становится Рабочий стол. Этот пульт управления системой построен по принципу «ситуационного центра» и позволяет выполнять основные задачи, которые стоят перед сотрудником ИБ:

1. Оценка и мониторинг оперативной обстановки
2. Управление событиями и инцидентами
3. Мониторинг групп особого контроля
4. Расследование в отношении персоны
5. Мониторинг движения и хранения информации
6. Расследование инцидента

В первую очередь рабочий стол позволяет провести быструю оценку оперативной обстановки и, выбрав первоочередные задачи на данный момент, углубиться в разбор конкретных событий и инцидентов.

Виджеты на рабочем столе собраны таким образом, чтобы под рукой оказалась вся самая необходимая информация. В поле зрения безопасника попадают три основные сущности: а) критичная информация в виде информационных объектов; б) сотрудники — они же персоны; в) нарушения — события информационной безопасности.

Рисунок 2. Фокусы внимания

Данная концепция позволяет пользователю системы взглянуть на одно и то же нарушение с трех разных точек зрения, получив всеобъемлющую информацию, которая станет «топливом» для «машины расследований».

Рисунок 3. Рабочий стол в Solar Dozor 6.1

Взглянув на главный рабочий стол Solar Dozor, можно быстро понять, какие нарушения система фиксирует в данный момент времени, как перемещается в организации защищаемая информация, чем занимаются люди (персоны), за которыми установлен особый контроль.

Управление событиями и инцидентами

Для эффективной работы с инцидентами в Solar Dozor реализована полноценная система кейс-менеджмента, позволяющая управлять жизненным циклом инцидента на всех этапах расследования.

Solar Dozor, как любая классическая DLP-система, фиксирует нарушения политик безопасности и отображает их в виде событий. Каждый элемент списка событий представляет собой информационную строку, в которой приведены основные сведения о событии. Такое представление позволяет офицеру безопасности просматривать множество событий, зарегистрированных в системе, при этом получая информацию о каждом из них.

Рисунок 4. События и инциденты в Solar Dozor 6.1

Проводя оперативный мониторинг, специалист по безопасности может быстро выявить в потоке критичные события, перевести их в статус инцидента и назначить ответственного сотрудника для расследования нарушения.

Рисунок 5. Создание инцидента в Solar Dozor 6.1

Таким образом удается построить эффективный конвейер по разбору инцидентов. Информация обо всех назначенных на офицера безопасности инцидентах будет отображаться в разделе «Мои инциденты».

Рисунок 6. Раздел «Мои инциденты» в Solar Dozor 6.1

Тут же отображаются сообщения, передача которых была заблокирована системой. Они всегда находятся на главном экране для быстрой обработки и обеспечения непрерывности бизнес-процессов.

Рисунок 7. Заблокированные письма в Solar Dozor 6.1

Аналитический инструментарий

Если проводить аналогию с расследованиями в реальном мире, то результаты работы DLP-системы схожи с донесениями агентурной сети. Аналитик получает огромные объемы оперативной информации «с полей», и чтобы принимать правильные решения, ему нужны эффективные и удобные инструменты анализа. Чтобы выделить из информационного шума самые важные доказательства, офицер безопасности постоянно задает себе (и DLP-системе) различные вопросы, как например:

1. Кто этот сотрудник? В каком подразделении он работает? Какая у нас есть контекстная информация из других систем? Как долго он работает, есть ли привилегированные права, кто руководитель?
2. Что у нас есть на этого сотрудника? Какова история его нарушений? С кем он общается? По каким каналам, с какой интенсивностью? Что он обсуждает в переписке? Какие файлы он получает и отправляет?
3. Кто его контакты? С кем человек общается в рамках бизнес-процессов? А с кем просто дружит? Его наиболее частые связи? Нехарактерные или случайные контакты?
4. Как сотрудник ведет себя на работе? Что для него является нормой, а какая активность вызывает подозрение?

То же самое касается информации — офицера интересует, как перемещается критичная информация в организации: кто, когда, по каким каналам, как часто и что пересылает, какие есть типичные и нетипичные информационные потоки, что является нормой, а что аномалией.

Это далеко не полный список, но на эти и многие другие вопросы помогает быстро ответить мощный и удобный инструментарий аналитики в Solar Dozor.

Контроль информационных объектов в Solar Dozor 6.1

Для контроля распространения конфиденциальной информации в Solar Dozor реализована сущность под названием информационный объект. Она описывает класс информации, имеющей ключевое значение для бизнеса и требующей особого внимания со стороны службы безопасности. Данные могут передаваться в различных форматах: в виде электронных документов, в тексте сообщения, в виде отсканированных изображений, внутри архивов и т. п. Поэтому целесообразно задать как можно больше разных представлений этой информации, сгруппированных по каким-либо общим критериям. Информационный объект помогает описать понятные в обращении документы: финансовые документы, резюме, стратегические планы, протоколы совещаний и т. п.

Мониторинг осуществляется с Рабочего стола или из раздела «Информационные объекты». Для удобства пользователя информационные объекты могут быть сгруппированы по категориям. При этом каждая категория может содержать либо подкатегории, либо непосредственно информационные объекты.

Рисунок 8. Информационные объекты в Solar Dozor 6.1

Например, для мониторинга и контроля движения финансовых документов можно объединить соответствующие информационные объекты в категорию «Финансовые документы». Информационные объекты, содержащие документы, с которыми работают специалисты кадрового отдела, объединяются в категории «Кадровый отдел». При этом к каждому информационному объекту можно применить разные правила контроля.

Чтобы собрать всеобъемлющую информацию о движении информационных объектов в Solar Dozor, нужно обратиться к карточке-досье на информационный объект. Она содержит подробные сведения о том, кто и по каким каналам передавал защищаемую информацию.

Информация в карточке информационного объекта представлена в следующих срезах:

• Список событий и инцидентов ИБ, связанных с информационным объектом.
• Сведения о фактах передачи информационного объекта, в том числе передача от человека на ресурс, копирование на флешку, печать и т. п.
• Сводные данные о местах размещения информационного объекта (вкладка «Места хранения»).

Рисунок 9. Сведения о передаче Информационных объектов в Solar Dozor 6.1

Досье на сотрудников в Solar Dozor 6.1

Традиционно DLP-системы были построены вокруг концепции защиты информации, и весь принцип работы с ними также вращался вокруг данных — сообщений, файлов, категорий и т. д. За это в решении отвечает контроль информационных объектов. Но что если взглянуть на нарушение политик глазами самого нарушителя, вжиться в его роль, проследить его активность?

Для этих целей в Solar Dozor разработан инструментарий ведения «Досье» на сотрудников и группы лиц, требующих особого контроля. В такие группы обычно помещаются новые сотрудники, персоны, заявившие о скором увольнении, и прочие сотрудники, вызывающие подозрение у службы безопасности или своих руководителей. Проводя глубокую аналитику действий и коммуникаций сотрудников, офицер безопасности шаг за шагом собирает доказательства и составляет досье на людей и информационные объекты. Краткую информацию о сотруднике можно получить, открыв его карточку.

Рисунок 10. Краткая карточка персоны в Solar Dozor 6.1

В полной карточке персоны можно просмотреть:

• Всю имеющуюся личную, контактную и сетевую информацию о персоне, а также сведения об уровне доверия, присвоенном сотруднику (подробнее об уровне доверия см. ниже).
• Список событий и инцидентов ИБ, связанных с персоной.
• Список сообщений о фактах передачи информации персоной.
• Сведения о фактах передачи файлов персоной.
• Данные о связях персоны.

Рисунок 11. Полная карточка персоны в Solar Dozor 6.1

Solar Dozor поддерживает интеграцию с кадровыми системами и системами класса IdM, что позволяет офицеру безопасности собирать ценную контекстную информацию о сотруднике, например, сведения о дате приема на работу и дате предполагаемого увольнения, а также сведения о выданных ему привилегированных правах.

Досье является центром консолидации данных о сотруднике и позволяет офицеру безопасности прикреплять к карточке файлы с комментариями, например, анкетой соискателя или данными из внешних систем проверки контрагентов. Благодаря этому офицер безопасности может в одном месте легко накапливать и связывать информацию, которую он «накопал» на подозреваемого сотрудника.

Галерея скриншотов рабочего стола в Solar Dozor 6.1

Скриншоты с рабочих станций сотрудников являются ценнейшим источником доказательств при расследовании инцидентов информационной безопасности. По сути они выступают в качестве фотографий с места преступления и помогают поймать нарушителя с поличным. В Solar Dozor скриншоты рабочего стола входят в функционал «Досье». Данный инструмент позволяет настроить снятие скриншотов по расписанию или нажатию заданной комбинации клавиш на рабочей станции, например, после Enter или PrintScr. В новой версии Solar Dozor 6.1 кардинально переработана система визуальной работы с базой скриншотов. Архив изображений представлен в виде привычной для пользователей галереи, поддерживающей всевозможные фильтры для удобного отображения и визуализации. Решение также представляет список процессов и приложений, запущенных на рабочей станции в момент снятия скриншота, что значительно ускоряет процесс просмотра и получения нужной информации. 

Граф взаимосвязей сотрудников Solar Dozor 6.1

Справедливо высказывание, что связи правят миром, но при этом самые тяжкие правонарушения совершаются не в одиночку, а совместно с подельниками. Расследуя инцидент, очень важно знать всех участников событий. Для выявления сообщников и нетипичных контактов пользователей Solar Dozor предлагает инструмент «Граф связей». В отличие от классических DLP-систем, где пользователи и их связи отображаются списками, визуализация в виде социального графа помогает легко оценить контакты пользователя. Инструмент дает понимание устойчивых связей сотрудников, случайных контактов и общих знакомых как внутри организации, так и за ее пределами.

Рисунок 12. Граф связей сотрудников в Solar Dozor 6.1

Уровень доверия к сотрудникам в Solar Dozor 6.1

Как обнаружить угрозу еще до того, как она реализовалась? Нужно наблюдать за людьми и пристально отслеживать любые изменения в их обыденном поведении. Злоумышленник обязательно себя выдаст. У любого человека есть некоторый нормальный сценарий поведения, который непрерывно рассчитывается и анализируется интеллектуальной системой Solar Dozor.

Как только в активности пользователя появляются нарушения политик безопасности, уровень доверия снижается, таким образом показывая, что сотруднику следует уделить особое внимание.

Рисунок 13. Уровень доверия к сотрудникам в Solar Dozor 6.1

Группы риска в Solar Dozor 6.1

Контролировать всех значит не контролировать никого. Сконцентрировать внимание на сотрудниках и группах, вызывающих подозрение, в Solar Dozor помогают группы особого контроля.

Для мониторинга действий сотрудников, требующих особого внимания со стороны службы безопасности (уволенных, увольняющихся, на испытательном сроке и т. п.), можно добавить соответствующих сотрудников в определенные группы категории «На особом контроле». Внешних сотрудников можно объединить в группах категории «Внешние персоны». При этом к каждой группе можно применить разные правила контроля.

Рисунок 14. Группы особого контроля в Solar Dozor 6.1

Поиск по архиву событий и инцидентам в Solar Dozor 6.1

Архив событий и инцидентов любой DLP-системы содержит огромные массивы данных, включая переписку сотрудников и вложенные файлы. Одним из регулярных сценариев работы офицера безопасности становится поиск нужной информации в этом архиве, т. к. простой просмотр карточек сотрудников, их сообщений будет отнимать слишком много времени. Традиционно поставщики DLP-решений шли по пути работы с архивом как с СУБД. Многие помнят, как приходилось писать поисковые запросы на SQL. Но такая практика ушла в историю. Поиск в Solar Dozor построен по принципу «проще — лучше — быстрее». Пользователю системы не нужно обладать какими-либо специальными знаниями. Если вы хорошо справляетесь с поиском писем в Microsoft Outlook, то у вас все получится. Для первого опыта будет достаточно разобраться с «Быстрым поиском» и попрактиковаться с вводом собственных поисковых запросов, как это делается в Google.

При поиске офицер безопасности задает критерии поиска: что, где и за какой период искать: 

• Что можно искать: сообщения (при этом также можно указать искомый текст), события и инциденты, персоны, файлы.
• Где можно искать: в переписке между указанными источником и назначением. При этом источником/назначением могут быть персоны и группы персон, а также адреса/сетевые данные, тип которых (логин Skype, логин в социальных сетях и т. д.) выбирается из списка.

Рисунок 15. Поиск по архиву событий и инцидентам в Solar Dozor 6.1

Такие запросы можно сохранить для использования в будущем в «Шаблонах поиска», там же находится и библиотека готовых поисковых запросов.

Рисунок 16. Шаблоны поиска в Solar Dozor 6.1

В Solar Dozor реализована уникальная технология быстрого поиска. На получение результатов поиска после введения запроса требуется не более 1 секунды даже при работе с большими архивами, в которых хранится, например, 17 млн сообщений.

Отчеты в Solar Dozor 6.1

Руководители информационной безопасности и высшее руководство регулярно задаются вопросом, как в компании обстоят дела с угрозами, исходящими от сотрудников. Для оценки ситуации в макромасштабе в Solar Dozor предусмотрен богатый функционал отчетности.

Разработчики системы понимают, насколько важно качественно презентовать результаты своей работы руководителям. На таких встречах нет времени углубляться в детали, и важно быстро и грамотно отразить ключевые события. В разделе «Отчеты» веб-интерфейса Solar Dozor офицер безопасности может построить статистические выборки, проследить динамику развития событий и сформировать разнообразные отчеты, которые наглядно визуализируют исчерпывающую информацию по инцидентам.

Рисунок 17. Пример отчета в интерфейсе Solar Dozor 6.1

Благодаря отчетам в Solar Dozor службе безопасности не придется вручную просчитывать и визуализировать накопленные данные. Отчеты строятся автоматически за считанные секунды, что позволяет быстро подготовиться к важной презентации.

Рисунок 18. Пример отчета в интерфейсе Solar Dozor 6.1

Кроме этого, есть возможность настроить рассылку отчетов на email всем заинтересованным лицам по расписанию, чтобы они всегда были в курсе актуальных рисков и контролировали процесс расследования. Отчеты можно просматривать как в веб-интерфейсе решения, так и выгружать в формате PDF и/или XML.

Рисунок 19. Сводный отчет в Solar Dozor 6.1. Пример в формате PDF

Краткие сводные отчеты позволяют руководителям служб безопасности видеть общую картину и текущее состояние защищаемой информации, более подробные отчеты могут помочь выявить ошибки в политике безопасности компании. Solar Dozor позволяет формировать следующие виды отчетов:

• отчет по инцидентам за период (отчет Сводный отчет по инцидентам), в котором отражены: 
  • общие показатели (общее количество событий, количество обработанных событий, общее количество инцидентов ИБ, количество открытых и закрытых инцидентов);
  • распределение инцидентов ИБ по различным критериям (каналам связи, уровню критичности, группам персон, типам информации);
  • топ-5 персон, фигурирующих в инцидентах.
  • статистические данные по адресам отправителей и получателей с указанием количества переданной и принятой информации (отчет Статистика по адресам).
  • отчет, предоставляющий пользователю сведения о соответствующих поисковым критериям объектах в виде списка: это может быть список сообщений, список событий или список файлов (Отчет в виде списка).

Тепловая карты коммуникаций в Solar Dozor 6.1

Продолжая развитие инструментов для визуализации коммуникаций, в Solar Dozor 6.1 появился новый уникальный для DLP-систем отчет — «Тепловая карта коммуникаций», который визуализирует интенсивность коммуникаций сотрудников или движения информации, при этом интенсивность коммуникаций в разрезе каналов кодируется цветом. Данный инструмент дает офицеру по безопасности возможность быстро оценить обстановку, увидеть потенциальные риски и «горячие точки». Используя этот инструмент, офицер по безопасности может построить графическую карту по интересующему его информационному объекту или персоне.

Рисунок 20. Отчет «Тепловая карта коммуникаций персон» в Solar Dozor 6.1

Выводы

Рынок DLP-систем в России и СНГ продолжает расти, и в новых экономических условиях проблематика угроз со стороны собственных сотрудников актуальна как никогда. Если еще несколько лет назад наблюдался некоторый паритет в направлениях развития основных отечественных игроков и местами слепое копирование функционала зрелых западных решений, то сегодня такие компании, как Solar Security, вырабатывают свое уникальное рыночное предложение, соответствующее ожиданиям российских заказчиков.

Так уж случилось, что некоторый функционал DLP-систем вызывает множество дискуссий, затрагивающих этические вопросы слежения за сотрудниками. Вследствие этого на протяжении долгого времени производители и клиенты делали упор на защиту данных от утечки, как бы сглаживая углы. Но реальность такова, что корпоративное мошенничество наносит гораздо более серьезный урон, нежели потеря информации. Solar Dozor 6.1 — это смелый шаг в рамках уже сложившейся индустрии и, по сути, единственное на рынке решение, оптимизированное для выявления корпоративного мошенничества и расследования инцидентов информационной безопасности.

Развитые аналитические возможности продукта позволяют копнуть гораздо глубже и выявить угрозы и косвенные признаки мошенничества, которые остались бы незамеченными при использовании классических DLP-систем. Solar Dozor может похвастаться продвинутым архивом, куда попадает весь перехваченный трафик, а поиск по нему занимает считанные секунды, что обеспечивает полноту запрошенной информации и экономию времени при проведении расследований.

Стоит отметить инновационную технологию выявлений аномалий в поведении пользователей «Индекс доверия», позволяющую детектировать отклонения в поведении сотрудников и на ранней стадии выявлять скрытые угрозы. В этом ключе очень перспективно выглядят возможности автоматического анализа уровня риска сотрудников, распределение их в группы риска, построение графов взаимосвязей и тепловых карт коммуникаций.

Solar Dozor служит наглядным примером того, как DLP-система трансформировалась из архива инцидентов с возможностью написания поисковых запросов в полномасштабное решение по выявлению признаков корпоративного мошенничества. Новая версия Solar Dozor эволюционирует в сторону BI-системы, которая помогает проводить глубокую аналитику инцидентов информационной безопасности и выявлять сложные мошеннические схемы на предприятии.

На момент написания обзора Solar Dozor является единственным российским DLP-решением, имеющим агентский модуль для ОС Linux, что является неоспоримым преимуществом для организаций, перешедших на СПО.

К недостаткам Solar Dozor можно отнести отсутствие контроля некоторых сетевых протоколов, например, IMAP, NNTP, P2P и протоколов IP-телефонии. Логично было бы добавить в систему функции контроля действий сотрудников на рабочих местах (время работы с программами, открытие веб-сайтов, файлов, записи видео или звука с микрофона). 

Сравнительный обзор средств предотвращения утечек данных (DLP)

Введение

Несмотря на постоянное совершенствование методов противодействия утечкам, обеспечить абсолютную защищенность чувствительных данных чрезвычайно сложно. Достаточно вспомнить недавние резонансные инциденты. Например, летом 2018 года прокатилась волна скандалов, связанная с появлением приватных документов пользователей облачных сервисов Google в поисковой выдаче Яндекса. Также выяснилось, что, используя тот же поисковый механизм, можно получить личные данные клиентов Сбербанка, РЖД и департамента транспорта Москвы. И по-прежнему на пиратских сайтах доступны самые разные базы данных, стоимость которых крайне невелика по сравнению с возможным ущербом, который может нанести злоумышленник, заполучивший их. Таким образом, системы защиты от утечек данных (DLP – Data Leak Protection) сегодня не только не теряют своей актуальности, но и становятся все более востребованными в организациях и на предприятиях самого разного профиля.

Какую информацию нужно защищать от утечек

Когда речь заходит о защите информации, тем более в части ограничения или контроля ее распространения, очень важно не запутаться в терминах, четко определить и корректно классифицировать обрабатываемые или хранимые данные. Компаниям, озаботившимся этой проблемой, в первую очередь стоит обратиться к федеральному закону 149-ФЗ «Об информации, информационных технологиях и о защите информации». В нем информация, в зависимости от категории доступа к ней, подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа). Согласно этому же закону, информация, в зависимости от порядка ее предоставления или распространения, подразделяется на:

• информацию, свободно распространяемую;
• информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;
• информацию, распространение которой в Российской Федерации ограничивается или запрещается.

Какие конкретно сведения в том или ином случае относить к информации ограниченного доступа определяется либо соответствующим федеральным законом (как, например, в случае с персональными данными, врачебной, банковской или адвокатской тайной), либо этот вопрос решается владельцем данных, который самостоятельно классифицирует их согласно описанным признакам (например, коммерческая тайна или секреты производства).

Всего же, по оценкам экспертов, в России существует свыше пятидесяти, определенных различными нормативными актами, видов тайн. Однако эти понятия часто пересекаются между собой, либо вытекают одно из другого. Вне зависимости от фактически выбранного способа отнесения принадлежащих сведений к информации ограниченного доступа, необходимо четко понимать требования и ограничения, предъявляемые к распространению таких данных, а также всю полноту ответственности за возможные утечки. Таким образом, разворачивание систем класса DLP в организации поможет не только реализовать обязательные меры по защите информации (часть которых в явном виде прописана в подзаконных актах и нормативных документах регуляторов), но и предотвратить бесконтрольное распространение конфиденциальных данных.

Немаловажно и то, что почти все современные DLP-решения помогают осуществить ретроспективный анализ и организовать полноценное расследование в случае, если инцидент все-таки произошел. Принимаемые в последнее время нормативные документы ФСБ России, ФСТЭК России, Банка России (особенно по вопросам обеспечения безопасности критических информационных систем) обычно предусматривают обязательное внедрение процессного подхода к построению систем защиты информации. Большое внимание при этом уделяется обработке инцидентов и анализу последствий от реализованных угроз, если такие все же наступили. Такая политика в итоге должна привести к неотвратимости наказания, минимизации ущерба и снижению рисков повторения инцидентов.

Виды утечек информации

ГОСТ Р 53114-2008 определяет утечку информации как неконтролируемое распространение защищаемой информации в результате ее разглашения, несанкционированного доступа к ней и получения защищаемой информации иностранными разведками. Утечки информации можно разделить на два типа: умышленные и неумышленные.

Умышленные (или преднамеренные) утечки характеризуются тем, что злоумышленник, имея доступ к защищаемой информации, понимает противоправность своих действий и осознает их возможные негативные последствия. Причем основными мотивами для совершения подобного рода преступлений уже не являются месть, идеологические соображения, политические взгляды или стремление к самовыражению. Сегодня абсолютное большинство инцидентов информационной безопасности, особенно связанных с потерей защищаемых данных, происходят ради материальной наживы или получения иной выгоды. Стоит отметить, что кража чувствительных данных хакерами, которые обманным или иным путем получили прямой доступ к ним с помощью сотрудника организации, тоже относится к умышленным утечкам, даже если противоправных намерений у конкретного сотрудника не было.

Неумышленные утечки связаны с халатностью или недостаточной осведомленностью пользователей в вопросах работы с защищаемой информацией. Наиболее распространенные ошибки работников компаний, ведущие к утечкам, представлены на Рисунке 2.

Стратегии по защите от преднамеренных и случайных утечек чувствительной информации, реализуемые в организации, могут несколько отличаться. Например, в первом случае необходимо внедрить четкие правила управления и контроля за учетными записями, отслеживать подозрительную активность пользователей на рабочих местах и в процессе коммуникаций, иметь возможность ретроспективного расследования инцидентов; во втором – требуется уделять больше внимания осведомленности и повышению грамотности сотрудников при работе с важными данными, а также детектировать нарушения и предупреждать о попытках передачи защищаемой информации. Интересно, что по статистике число инцидентов в организациях, вызванных обоими видами утечек, практически одинаково – половина из них происходит неумышленно, а половина преднамеренно. Поэтому DLP-системы являются объединяющим инструментом для реализации комплексной стратегии по предотвращению утечек чувствительных данных в компании.

Принципы функционирования DLP

DLP-система (программный или программно-аппаратный комплекс), предназначенная для предотвращения утечек конфиденциальной информации за пределы корпоративной сети, строится на основе анализа потоков данных, циркулирующих внутри компании и выходящих за ее пределы. В случае срабатывания заранее настроенного правила или политики, которыми определяется факт передачи защищаемой информации, система либо блокирует такую передачу, либо посылает тревожные уведомления сотруднику службы безопасности.

Системы DLP подразделяются на три основных типа (в зависимости от архитектуры подсистемы контроля): сетевые, агентские и гибридные DLP.

Сетевые решения основаны на применении метода централизованного мониторинга трафика данных путем подачи его зеркальной копии на развернутые специализированные серверы для анализа согласно настроенным политикам безопасности. К преимуществам таких систем можно отнести минимальное влияние на существующую инфраструктуру, относительную простоту внедрения, полное отсутствие какой-либо привязки к рабочим станциям пользователей, а также минимизацию рисков несанкционированного доступа к аппаратным компонентам. Однако анализируя только сетевые потоки, сложно установить полную картину работы пользователей с конфиденциальной информацией. Кроме того, учитывая текущий объем зашифрованного трафика (по данным аналитиков, в 2018 году его доля в глобальном веб-трафике превышает 50%) и нарастающую популярность мессенджеров, облачных сервисов и других специализированных приложений для обмена информацией, предотвратить утечки без контроля рабочих мест чрезвычайно сложно.

Здесь на помощь приходит агентское исполнение, которое предполагает установку клиентских программ на все компьютеры пользователей в организации. Эти клиентские программы контролируют соблюдение политик безопасности, блокируют несанкционированную передачу конфиденциальных данных и запуск неразрешенных приложений, оповещают администратора безопасности об инцидентах. К тому же агенты собирают максимальное количество сведений о действиях пользователей на корпоративных рабочих станциях и передают информацию в единый центр управления, позволяя специалисту службы безопасности определять инциденты, выявлять аномалии и строить отчеты.

Основным достоинством агентских решений является максимальная «близость» к пользователю, что дает возможность контролировать практически любые его действия во всех приложениях. Вдобавок большинство DLP-систем в агентском исполнении способны выполнять свои функции, даже если сотрудник находится за пределами корпоративной сети (в командировке или дома), благодаря возможности передачи данных о работе пользователя в систему по сети Интернет. Однако если по каким-либо причинам установка агента предполагает ограниченный функционал или вовсе невозможна, трафик с такой рабочей станции остается полностью бесконтрольным.

Поэтому переход DLP к гибридной архитектуре выглядит вполне обоснованным. Большинство имеющихся систем уже являются гибридными. Такие системы аккумулируют в себе все преимущества каждого из исполнений, поскольку и сетевая и агентская части контролируют оптимальные для них каналы передачи информации и выполняют разные функции, объединяя их результат в мощный инструмент по предотвращению утечек чувствительной информации.

Особенности выбора DLP систем

Оптимальным является решение DLP, способное предотвратить утечку информации по максимальному числу каналов передачи данных, которые используются на предприятии. Поэтому при выборе системы важно обращать внимание на возможности контроля не только классической электронной почты, файловой передачи и VoIP-звонков, но и популярных сегодня мессенджеров (Skype, Viber, Telegram, WhatsApp и др.), а также интернет-сервисов.

Второй важный фактор — скорость обработки данных. Поиск по базе собранной информации не должен занимать больше времени, чем обычный запрос в интернет-поисковике.
Крупной организации нужно обратить внимание и на требования к аппаратной платформе, потому что одни и те же функции у различных производителей DLP реализованы по-разному, и это может значительно влиять на стоимость решения. В целом же самые популярные на рынке продукты имеют примерно схожий функционал и концептуально одинаковую верхне-уровневую архитектуру построения. Типичный пример такой архитектуры изображен схеме DLP-системы компании InfoWatch (Рисунок 4).

Многие решения DLP включают также контроль хранения, использования и перемещения важных документов внутри корпоративной инфраструктуры.

К «почти обязательным» функциям DLP-систем можно отнести теневое копирование при перемещении пользователем конфиденциальных документов, возможность централизованной установки и мониторинга работы агентов, маскировку работы агентов и защиту от их удаления, оповещение администратора о событиях безопасности, интеграцию со сторонними системами и др. Некоторые продукты могут даже шифровать данные на компьютерах пользователей и съемных носителях.

К функционалу же блокировок передачи данных или устанавливаемых соединений стоит относиться критически и перед его использованием тщательно изучить алгоритмы принятия соответствующих решений. Такое предостережение связано с тем, что зачастую политики безопасности строятся на основе лингвистических и статистических алгоритмов определения инцидентов безопасности, которые по определению не являются точными. Поэтому, излишне увлекшись блокировками, есть риск получить огромное количество ложных срабатываний. Стоит отметить, что некоторые разработчики систем DLP применяют более точные методы при блокировках (например, на основе меток), которые, впрочем, также имеют свои ограничения к применению.

Отдельное внимание стоит уделить удобству работы с системой, качеству проработки консоли управления и аналитическим возможностям решения. К последним, например, относятся интеллектуальная блокировка инцидентов, обогащение «Личного дела» сотрудников информацией об их активностях с автоматической привязкой всех учетных записей и построением связей, информативные отчеты о попытках нарушения политик ИБ, настраиваемые средства визуализации результатов анализа, удобный поиск по событиям, гибкий конструктор политик. При этом очень важно, чтобы для всего этого разнообразия функций и возможностей был единый интуитивный интерфейс, доступный администратору на любом устройстве.

Помимо богатства функционала и удобства работы с системой также следует учитывать особенности ее развертывания и последующей поддержи. Представьте, насколько вырастут трудозатраты и сроки реализации проекта, если придется вручную устанавливать и обслуживать агенты, а внедрение сетевой компоненты потребует изменения существующей инфраструктуры или окажет негативное влияние на ее производительность.

Наконец, важно оценить возможности поставщика DLP-системы, принимая во внимание его опыт, экспертизу и историю разработчика, перечень реализованных проектов, скорость реакции на обращения заказчиков, уровень технической поддержки, стоимость самого внедрения и последующие ежегодные затраты. Указанные параметры каждому заказчику в отдельности придется определять самостоятельно. Со стороны подобного рода оценку выполнить весьма затруднительно. Цель настоящей статьи – помочь определиться с выбором путем объективного сравнения популярных на отечественном рынке DLP-решений по ключевым параметрам.

Методика сравнения и перечень решений

Рынок решений DLP в России достаточно зрелый, на нем представлены преимущественно локальные игроки, однако, существует и несколько зарекомендовавших себя зарубежных продуктов. Ввиду высокого уровня технологического развития и богатого выбора отечественных систем DLP, а также учитывая правительственный курс на импортозамещение, иностранные продукты в сравнении участия не принимали.

Все рассматриваемые российские решения имеют определенные различия в архитектуре, политике лицензирования, функциональных возможностях и аналитических методах. Тем не менее, каждое из них служит общей цели – предотвращению утечек чувствительной информации в организации. Именно поэтому для обзора были подобраны такие параметры сравнения, по которым можно будет сделать вывод о применимости и пользе того или иного решения. Безусловно, идеального средства не существует, и каждой конкретной организации стоит выделить для себя ряд наиболее важных для нее признаков, по результатам анализа которых и будет сделан вывод о внедрении того или иного продукта. А данный обзор призван лишь помочь разобраться в тонкостях реализации и особенностях функционирования рассматриваемых систем.

Для этих целей в статье были проанализированы актуальные версии самых популярных и распространенных в России решений класса DLP:

1. Гарда Предприятие (ООО «Гарда Технологии», бывш. ООО «МФИ Софт»).
2. Solar Dozor (ООО «Солар Секьюрити», входит в структуру ПАО «Ростелеком»).
3. InfoWatch Traffic Monitor Enterprise (АО «ИнфоВотч»).
4. Falcongaze SecureTower (ООО «Фалконгейз).
5. СёрчИнформ КИБ (ООО «Сёрчинформ»).
6. Zecurion Zgate 4.0, Zlock 5.0, Zdiscovery 2.0 (АО «СекьюрИТ»).

Отдельно стоит отметить, что для сравнения подбирались только комплексные решения, максимально точно подпадающие под сформировавшееся на рынке определение и понимание термина «DLP». В настоящей статье не анализировались узкоспециализированные продукты, которые, возможно, выполняют какую-либо часть из полного набора функций DLP, например, системы учета рабочего времени, системы поиска и классификации данных в сети компании, системы контроля веб-трафика, прокси-серверы, системы анализа и защиты электронной почты, системы шифрования данных и др.

Параметры для сравнения были сгруппированы по следующим разделам:

1. Общая информация.
2. Режимы работы.
3. Производительность.
4. Доступ к системе, хранение и выгрузка данных.
5. Интеграция.
6. Контролируемые каналы, протоколы и сервисы.
7. Активный поиск защищаемой информации.
8. Механизмы контроля пользователей.
9. Мониторинг состояния агентов рабочих мест.
10. Работа с собранными данными.
11. Системные требования.
12. Схемы поставки.

Отметим, что каждый производитель имеет собственную политику лицензирования и поставки продуктов, из-за чего некоторые их возможности распределены по отдельным модулям. В целях унификации и формирования целостного мнения о том или ином решении выполнение каждой из функций «засчитывалось», если она доступна хотя бы в одном из поставляемых модулей в рамках одной концептуально оформленной DLP-системы, и «не засчитывалось», если выполняется сторонним партнерским продуктом.
При работе с отечественными ИТ-решениями в целом и с продуктами в области информационной безопасности в частности нередко встает вопрос о своевременном получении обновлений от производителя. До недавнего времени разработчики не всегда уделяли этому компоненту должное внимание. Однако на текущий момент практически все вендоры DLP-решений так или иначе поставляют потребителю необходимые обновления с установленной периодичностью. На улучшение ситуации не в последнюю очередь повлияло ужесточение требований со стороны регуляторов, которые контролируют выполнение указанных мер со стороны лицензиатов и заявителей на сертификацию.

Cравнение DLP-решений по выбранным параметрам

Ниже представлен перечень отобранных для сравнения решений и результаты их сравнения по каждому из параметров (Таблица 1).

	Гарда Предприятие	Infowatch Traffic monitor Enterprise	СёрчИнформ КИБ	Falcongaze SecureTower	Zecurion DLP (Zgate, Zlock, Zdiscovery)	Solar Dozor
Общая информация
Наименование производителя	ООО «Гарда Технологии»	АО «ИнфоВотч»	OOO «СёрчИнформ»	ООО «Фалконгейз»	АО «СекьюрИТ»	ООО «Солар Секьюрити» (входит в ПАО «Ростелеком»)
Веб-сайт	https://gardatech.ru	http://infowatch.ru	https://searchinform.ru	https://falcongaze.ru	http://www.zecurion.ru	https://rt-solar.ru
Лицензии на компанию-производителя ФСБ России	Нет	Лицензия № 0006393 на разработку, производство и распространение шифровальных (криптографических) средств. Лицензия № 0006394 на осуществление разработки и производства средств защиты конфиденциальной информации.	Лицензия № 0015110 на разработку, производство и распространение шифровальных (криптографических) средств	Нет	Лицензия № 14160Н на разработку, производство и распространение шифровальных (криптографических) средств. Лицензия № 14181К на осуществление разработки и производства средств защиты конфиденциальной информации.	Нет
Лицензии на компанию-производителя ФСТЭК России	Лицензия на деятельность по Технической защите конфиденциальной информации № 3481. Лицензия на деятельность по разработке и производству средств защиты конфиденциальной информации № 1820.	Лицензия на деятельность по Технической защите конфиденциальной информации № 0261. Лицензия на деятельность по разработке и производству средств защиты конфиденциальной информации № 0166.	Лицензия на деятельность по Технической защите конфиденциальной информации № 2770. Лицензия на деятельность по разработке и производству средств защиты конфиденциальной информации № 1486.	Лицензия на деятельность по Технической защите конфиденциальной информации № 2816. Лицензия на деятельность по разработке и производству средств защиты конфиденциальной информации № 1517.	Лицензия на деятельность по Технической защите конфиденциальной информации № 1017. Лицензия на деятельность по разработке и производству средств защиты конфиденциальной информации № 0619.	Лицензия на деятельность по Технической защите конфиденциальной информации № 2676. Лицензия на деятельность по разработке и производству средств защиты конфиденциальной информации № 1437.
Сертификаты на продукт ФСБ России	Нет	Нет	Нет	Нет	Нет	Нет
Сертификаты на продукт ФСТЭК России	Сертификат ФСТЭК России № 3437 действителен до 14.08.2018 ТУ и РД НДВ4 *проходит пересертификацию	Сертификат ФСТЭК России № 3831 действителен до 28.10.2020 РД СВТ5, СКН ИТ.СКН.П4.ПЗ	Сертификат ФСТЭК России № 4144 действителен до 28.11.2024 ТУ и РД НДВ4	Сертификат ФСТЭК России № 3421 действителен до 25.06.2018 ТУ и РД НДВ4 *о продлении нет данных	Сертификат ФСТЭК России № 2753 действителен до 09.11.2015 ТУ и РД НДВ4 *сертифкат только на один из модулей — Zlock *о продлении нет данных	Сертификат ФСТЭК России № 3706 действителен до 27.02.2020 ТУ и РД НДВ4
Языки интерфейса	Русский	Английский, Русский, Белорусский, Украинский	Русский, английский (опционально: Испанский, Украинский)	Русский, Английский, Французский, Немецкий, Итальянский, Корейский, Испанский, Турецкий	Русский, Английский	Русский, Английский
Техническая поддержка	На русском языке, на территории Российской Федерации	На русском языке, на территории Российской Федерации	На русском и английском языках, на территории Российской Федерации и за рубежом	На русском языке, на территории Российской Федерации	На русском языке, на территории Российской Федерации	На русском языке, на территории Российской Федерации
Механизмы активации лицензии	Не требует обязательного подключения к сети Интернет	Не требует обязательного подключения к сети Интернет	Файл с лицензией, не требует обязательного подключения к сети Интернет	USB-токен + файл с лицензией (может быть получен по сети Интернет)	Файл с лицензией (может быть получен по сети Интернет)	Файл с лицензией
Механизмы получения обновлений от производителя	На съемном носителе или по доверенному каналу	На дистрибутивном диске или по доверенному каналу	На диске или по доверенному каналу	На диске или по доверенному каналу	На диске или по доверенному каналу	На диске или по доверенному каналу
Механизмы инсталляции обновлений	Не требует постоянного подключения к сети Интернет, возможна локальная установка	Локальная установка или удаленно	Локальная установка	Локальная установка	Локальная установка	Локальная установка
Стандартные условия предоставления демонстрационной версии	30 дней, полный функционал	30 дней, до 100 пользователей, компоненты — по согласованию	30 дней, полный функционал	30 дней, полный функционал	По запросу	По запросу
Дополнительные услуги от производителя	Услуга по техническому внедрению системы, обучение администраторов работе с продуктом, консалтинг по нормативно-методическому сопровождению внедрения	Услуга по техническому внедрению системы, обучение администраторов работе с продуктом, полный цикл консалтинга по внедрению и сопровождению DLP-проекта, совместные учебные центры с образовательными учреждениями	Услуга по техническому внедрению системы, обучение администраторов работе с продуктом, консалтинг по нормативно-методическому сопровождению внедрения, собственный учебный центр, аутсорсинг информационной безопасности	Услуга по техническому внедрению системы	Услуга по техническому внедрению системы, обучение администраторов работе с продуктом, полный цикл консалтинга, аудит информационной безопасности	Услуга по техническому внедрению системы, обучение администраторов работе с продуктом
Наличие в реестре отечественного ПО Минкомсвязи России	https://reestr.minsvyaz.ru/reestr/71686/	https://reestr.minsvyaz.ru/reestr/130413/	https://reestr.minsvyaz.ru/reestr/97068/	Нет	https://reestr.minsvyaz.ru/reestr/97069/	https://reestr.minsvyaz.ru/reestr/87559/
Режимы работы
Исполнение подсистемы контроля (агенты+сетевая часть, только агенты)	Агенты рабочих мест и сетевая часть (анализатор)	Агенты (поставляется в виде отдельных компонентов — Device Monitor и Person Monitor) и сетевая часть	Агенты (Endpoint Controller) и сетевая часть (Network Controller)	Агенты и сетевая часть	Агенты и сетевая часть по каждому модулю Zgate, Zlock, Zdiscovery, Zserver	Агенты и сетевая часть
Работа в режиме мониторинга	Да	Да	Да	Да	Да	Да
Работа в режиме блокировки	Да	Да	Да	Да	Да	Да
Возможность контроля пользователей вне сети компании	Да	Да	Да	Да	Да	Да
Шифрование передачи данных между агентами и сервером	Да	Да	Да	Да	Да	Да
Использование алгоритма согласно ГОСТ при шифровании передачи данных между агентами и сервером	Нет	Нет	Нет	Нет	Нет	Нет
Поддержка IPv6	Да	Да	Да	Да	Да	Да
Производительность
Кластеризация решения	Да	Да	Да	Да	Да	Да
Максимальная пропускная способность подсистемы перехвата сетевого трафика	до 40 Гбит/c на каждый модуль, размеры кластера не ограничены	400 Мбит/с, по 200 Мбит/c на одно плечо кластера	Пропускная способность ограничена в связи с архитектурными особенностями операционных систем Windows	Пропускная способность ограничена в связи с архитектурными особенностями операционных систем Windows	Пропускная способность ограничена в связи с архитектурными особенностями операционных систем Windows	10 Гбит/с в кластере
Доступ к системе, хранение и выгрузка данных
Интерфейс управления системой	веб-интерфейс, всегда единое «окно» управления	веб-интерфейс, консоли управления разные для разных компонентов, отдельно поставляется модуль визуализации Vision	Клиент-серверный интерфейс, консоли управления разные для разных компонентов	Клиент-серверный интерфейс, консоли управления разные для разных компонентов	веб-интерфейс, единое «окно» управления	веб-интерфейс, единое «окно» управления
Поддерживаемые устройства для управления	Любое устройство с установленным браузером	Любое устройство, рекомендуется установленный браузер Google Chrome	АРМ или сервер на платформе Windows с установленными консолями управления	АРМ или сервер на платформе Windows с установленными консолями управления	Любое устройство с установленным браузером	Любое устройство с установленным браузером
Адаптации интерфейса под мобильные устройства	Да	Да	Нет	нет	Да	Да
Возможность ролевого доступа к системе	Да	Да	Да	Да	Да	Да
Хранение перехваченных данных	Гибридное хранилище собственной разработки	Oracle DB, PostgreSQL, MS SQL, MySQL	MS SQL	Postgre SQL (версии 9.3 и выше), MS SQL Server, Oracle, MySQL, SQLite	MS SQL, Oracle, PostgreSQL	Oracle, PostgreSQL
Возможность хранения всех данных в исходном виде	Да	Да, при использовании отдельного компонента	Нет	Нет	Да	Да
Форматы экспорта отчетов	PDF, CSV, HTML, XLSX	PDF, HTML, XLSX	PDF, HTML, TXT, XLS, XML	PDF, XLS, CSV, IMG, RTF	PDF, Excel, TSV, текстовый ANSI, текстовый Unicode, XML, HTML, CSV	PDF, XML
Выгрузка перехваченных данных и результатов анализа	Да	Да	Да	Да	Да	Да
Интеграция
Поддержка каталогов LDAP	Active Directory и иные LDAP-каталоги	Active Directory, Domino Directory, Novell eDirectory, Astra Linux Directory	Active Directory, Novell eDirectory	Active Directory	Active Directory	Active Directory и любые другие LDAP каталоги
Интеграция с почтовыми серверами	Microsoft Exchange, IBM Lotus, любые другие SMTP, IMAP серверы	MS Exchange, MDaemon, IBM Lotus Domino и другими SMTP-, IMAP-серверами	MS Exchange, MDaemon, IBM Lotus Domino, Kerio, Zimbra, Postfix	MS Exchange, иные серверы по POP3, SMTP и IMAP (Lotus Domino, Postfix, Sendmail, Zimbra и др.)	MS Exchange, Lotus Domino	Microsoft Exchange, IBM Lotus Notes, CommuniGate
Интеграция с прокси серверами	Любой proxy-сервер, по ICAP	Microsoft Forefront TMG, Blue Coat ProxySG, Aladdin eSafe Web Security Gateway SSL, Cisco IronPort S-Series, SQUID и другие по ICAP	Microsoft Forefront TMG, Squid, Bluecoat ProxySG, Cisco IronPort, McAfee Web Gateway, другие по ICAP	Любой proxy-сервер, по ICAP	Собственный Zproxy, Microsoft Forefront TMG (Microsoft ISA Server) и любым прокси-сервером, поддерживающим протокол ICAP: Blue Coat, Cisco ACNS, Squid и др.	Любой сервер, в том числе собственный WebProxy
Интеграция с системами электронного документооборота	Да, в рамках отдельных внедрений	Да, Oracle Information Rights Management	Нет	Нет	Нет	Microsoft Sharepoint, Alfresco
Интеграция с SIEM решениями	Нет	Да, табличное представление и syslog	Да, по syslog	Да	Нет	Да
Возможность особой интеграции с иными сторонними решениями	Да, в рамках отдельных внедрений	Lumension Device Control, DeviceLock, WorksPad, с иными решениями по ICAP, dbAPI, DataExportAPI, pushAPI	Да, СКУД, собственная SIEM	Да, Ethersensor	Да, собственная линейка решений: Zecurion Staff Control, Zecurion PAM	IAM, HR, MDM, BI, Office 365 и иные решения
Контролируемые каналы, протоколы и сервисы
Электронная почта	SMTP POP3 IMAP MAPI NNTP S/MIME Контроль веб-почты	SMTP POP3 IMAP MAPI S/MIME Контроль веб-почты	SMTP POP3 IMAP MAPI NNTP S/MIME Контроль веб-почты	SMTP POP3 IMAP MAPI Контроль веб-почты	SMTP POP3 IMAP MAPI Контроль веб-почты	SMTP POP3 IMAP Контроль веб-почты
Системы мгновенного обмена сообщений	OSCAR (ICQ, QIP) MMP (любые клиенты, поддерживающие этот протокол, например, Mail.Ru Агент) MSN (Windows Live Messenger) XMPP (Google Talk, Jabber) YMSG (любые клиенты, поддерживающие этот протокол, например, Yahoo Messenger Protocol) HTTPIM (обмен сообщениями в социальных сетях) Microsoft Lync Skype Telegram Viber	OSCAR (ICQ, QIP) MMP (любые клиенты, поддерживающие этот протокол, например, Mail.Ru Агент) XMPP (Google Talk, Jabber) YMSG (любые клиенты, поддерживающие этот протокол, например, Yahoo Messenger Protocol) HTTPIM (обмен сообщениями в социальных сетях) Microsoft Lync Skype Telegram Viber WhatsApp	OSCAR (ICQ, QIP) MMP (любые клиенты, поддерживающие этот протокол, например, Mail.Ru Агент) MSN (Windows Live Messenger) XMPP (Google Talk, Jabber) YMSG (любые клиенты, поддерживающие этот протокол, например, Yahoo Messenger Protocol) HTTPIM (обмен сообщениями в социальных сетях) Microsoft Lync Skype Telegram Viber WhatsApp Slack Rocket Chat	OSCAR (ICQ/AIM) MMP (Mail.Ru Агент) XMPP (Jabber) (Miranda, Google Talk, QIP Infium, PSI) YIM (Yahoo! Messenger) SIP, Skype, Viber, MS Lync, Telegram, WhatsApp	ICQ, Miranda IM, QIP, Trillian, Licq, Kopete, AIM, Google Talk, Я.Онлайн, LJ Talk, Gizmo5, Yahoo! Messenger, AIM, Windows Live Messenger, Skype и др.	OSCAR — ICQ, QIP, MSN — Windows Live Messenger и прочие, XMPP — Google Talk, Jabber и прочие, IRC, Yahoo messenger, Skype, mail.ru агент и веб-почта
Декодирование протоколов аутентификации	Kerberos	Нет	Нет	Да	Нет	Нет
Контроль IP-телефонии	Да, контроль SIP, SDP, H.323, T.38, MGCP, SKINNY и др., включая видеотелефонию	Нет	Да, SIP	Да, SIP	Нет	Нет
Запись голоса в VoIP-телефонии	Да, каждый сеанс VoIP-телефонии может быть представлен в виде полного диалога или только отдельные каналы (как входящие, так и исходящие)	Нет	Да	Да	Нет	Нет
Распознавание голоса в тексте	Нет	Да, с использованием Google API	Да	Да	Нет	Нет
Контроль облачных дисков и сервисов хранения	Да, отдельными политиками	Да, настраивается по трем фиксированным параметрам: доступ разрешен, доступ запрещен, разрешено только скачивание	Да	Да, перехват файлов на агенте	Да	Да
Контроль HTTP	Только на сети, либо по ICAP	На сети, на агенте	На сети, на агенте	На сети, на агенте	На сети, на агенте	На сети
Обнаружение нестандартных протоколов (Generic-TCP)	Произвольные потоки сетевого трафика, передаваемые по любым UDP- и TCP-портам	Нет	Нет	Нет	Нет	Нет
HTTPS без подмены сертификата	Нет	Нет	Нет	Нет	Нет	Нет
HTTPS с подменой сертификата	Да	Да	Да	Да	Да	Да
FTP и его модификации	Да	Да	Да	Да	Да	Да
P2P	Да, BitTorent (standard 11031); Gnutella (v0.6); E-Mule (v0.49b); Direct Connect Protocol (dc++ v0.707)	Нет	Нет	Нет	Нет	Нет
Распознавание передачи САПР-файлов	Да	DWG	CAD-файлы	DWG и DXF	Нет	DWG
Декодирование данных, передаваемых внутри нешифрованных туннелей протоколов	IP-in-IP, L2TP, PPTP, PPoE	Нет	Нет	L2TP, PPTP, PPoE и др. на уровне агентов	PPTP, PPoE	Нет
Возможность установки агента на ОС, отличные от семейства Windows	Нет	Astra Linux, функционал ограничен	Astra Linux, GosLinux, CentOS, Rosa Linux, Ubuntu, функционал ограничен	Нет	MacOS, функционал ограничен	Astra Linux, GosLinux, CentOS, функционал ограничен
Контроль мобильных устройств
Специальный агент под мобильные ОС	Нет	Android устройства (до версии ОС Android 6.0 включительно): Taiga Phone, Samsung Galaxy S3/S4/S5/S6/A3/A5/J1, YOTA PHONE 2, Huawei Ascend P6 / Honor 5x, Google (ASUS) Nexus 7, Xiaomi Redmi Note 3 Pro, Asus ZENFONE 2	Нет	Нет	Нет	Нет
Перечень поддерживаемых каналов	Перехват любого трафика, переданного по сети (за исключением перехватываемого только агентом)	Сетевой перехват, входящие и исходящие SMS, камера, GPS координаты, запуск приложений, электронная почта, веб-трафик, мессенджеры	Только сетевой перехват	Только сетевой перехват	Только сетевой перехват	Только сетевой перехват
Активный поиск защищаемой информации
Сканирование рабочих станций	Да	Да	Да	Да	Да	Да
Сканирование общих сетевых хранилищ	Да, только с помощью установленного агента	Да	Да	Нет	Да	Да
Создание теневых копий найденных конфиденциальных документов	Нет	Да	Да	Нет	Да	Да
Механизмы контроля пользователей
Снимки экрана	Да	Да	Да	Да	Да	Да
Видео экрана	Да	Да	Да	Да	Нет	Нет
Просмотр рабочего стола в режиме реального времени	Да, по задаваемым условиям	Нет	Да	Да	Нет	Нет
Запись звука через микрофон ноутбука или подключённую гарнитуру	Да	Да	Да	Да	Да	Нет
Запись фото/видео через веб-камеру	Нет	Да	Да	Да	Нет	Нет
Контроль и журналирование использования приложений	Да	Да	Да	Да	Нет	Да
Кейлоггер	Да	Да	Да	Да	Да	Нет
Учет рабочего времени пользователя	Да	Да	Да	Да	Нет	Нет
Возможность запретить или разрешить использование устройства	Да	Да	Да	Да	Да	Да
Возможность блокировки копируемой на устройство информации	Да	Да	Да	Да	Да	Да
Шифрование файлов на USB-устройствах	Нет	Нет	Да	Нет	Да, но отдельным продуктом, не входящим в состав DLP решения	Нет
Контроль печати	Да	Да	Да	Да	Да	Да
Контроль буфера обмена	Да, в момент операции «вставить»	Да, настраивается по приложению-источнику или приемнику	Да, ввод, копирование, вставка	Да	Да	Да
Мониторинг состояния агентов рабочих мест
Контроль работы агентов	Да	Да	Да	Да	Да	Да
Защита от выключения и удаления	Да	Да	Да	Да	Да	Да
Контроль целостности агента	Да	Да	Да	Да	Да	Да
Маскировка агента в операционной системе	Да	Да	Да	Да	Да	Да
Сценарии реагирования на сработавшие политики
Запись в журнал	Да	Да	Да	Да	Да	Да
Уведомление администратора безопасности	Да, по электронной почте	Да, по электронной почте	Да, по электронной почте	Да, по электронной почте	Да, по электронной почте	Да, по электронной почте
Блокировка соединения	Да, при установке в разрыв	Да	Да, SMTP, MAPI, IMAP, HTTP, HTTPS	Да, HTTP, HTTPS и SMTP по портам	Все контролируемые каналы (около 150 штук)	Да, SMTP, HTTP
Блокировка писем электронной почты	Нет	Да	Да, на агенте, на почтовом сервере	Да	Да	Да
Блокировка передачи файлов	Да	Да	Да	Да	Да	Да, в составе сущности — информационный объект
Работа с собранными данными
Гибко настраиваемые интерактивные дашборды в интерфейсе	Да	Да	Нет	Нет	Да	Нет
Поиск по регулярным выражениям	Да	Да	Да	Да	Да	Да
Анализ текста в форматах офисных приложений	Microsoft Office (Word, Excel, PowerPoint), форматы OpenOffice (pdf, .odt, .odp, .ods) PDF, любой Plain Text	Microsoft Office (Word, Excel, PowerPoint), PDF, RTF, CHM	Более 100 распространенных текстовых форматов, включая Microsoft Office (Word, Excel, PowerPoint), PDF, RTF	Microsoft Excel (*.xls), Microsoft Excel 2003 XML (*.xml), Microsoft Excel 2007 (*.xlsx), Microsoft PowerPoint (*.ppt), Microsoft Rich Text Format (*.rtf), Microsoft Word для DOS (*.doc), Microsoft Word для Windows (*.doc), Microsoft Word 2003 XML (*.xml), Microsoft Word 2007 (*.docx), Microsoft Works (*.wks), ), Multimate Advantage II (*.dox), Multimate версии 4 (*.doc), OpenOffice версий 1, 2, и 3 – документы, электронные таблицы и презентации (*.sxc, *.sxd, *.sxi, *.sxw, *.sxg, *.stc, *.sti, *.stw, *.stm, *.odt, *.ott, *.odg, *.otg, *.odp, *.otp, *.ods, *.ots, *.odf) (включая OASIS Open Document Format для офисных приложений), Open XML Paper Specification (*.oxps), Quattro Pro (*.wb1, *.wb2, *.wb3, *.qpw), Treepad HJT (*.hjt), Unicode (UCS16, порядок байтов Mac или Windows, и UTF-8), WordPerfect 4.2 (*.wpd, *.wpf), WordPerfect (5.0 и выше) (*.wpd, *.wpf), WordStar версий 1, 2, 3, 4, 5, 6 (*.ws), WordStar 2000, Write (*.wri), XML (*.xml), XML Paper Specification (*.xps), Adobe Acrobat (*.pdf), Ami Pro (*.sam), Ansi Text (*.txt), ASCII Text, CSV (Comma-separated values) (*.csv), DWG, DXZ, EBCDIC	Более 500 распространенных форматов, в том числе текстовых, включая Microsoft Office (Word, Excel, PowerPoint), PDF, RTF	Microsoft Office (Word, Excel, PowerPoint), форматы OpenOffice (pdf, .odt, .odp, .ods) PDF
Анализ текста в графических форматах	JPEG, BMP, PNG, TIFF	Все популярные графические форматы	Все популярные графические форматы	JPEG (*.jpg), Microsoft Document Imaging (*.mdi), Tiff (*.tiff), TIFF (*.tif), Enhanced Metafile Format (*.emf), Flash (*.swf), DjVu	Все популярные графические форматы	Все популярные графические форматы
Анализ текста в архивах	RAR, ZIP, ARJ, GZIP, TAR	Автоизвлечение из популярных форматов архивов	Автоизвлечение из популярных форматов архивов	TAR (*.tar), XyWrite, ZIP (*.zip), GZIP (*.gz)	Автоизвлечение из популярных форматов архивов	Автоизвлечение из популярных форматов архивов
Детекция выгрузок из базы данных	Да, любая СУБД	Да	Да	Да	Да	Да
Детекция документов с печатями	Нет	Да, печати и подписи	Да, печати и подписи	Да, печати	Да, печати	Да, печати
Лингвистический анализ по словарям	Да	Да	Да	Да	Да	Да
Морфологический анализ	Русский, английский, казахский	Русский, английский, французский, немецкий, испанский, итальянский, арабский, украинский	Русский, английский, немецкий, французский, испанский, итальянский, арабский, португальский, греческий, украинский, белорусский, польский, казахский (всего более 30 языков)	Русский, английский	Русский, английский	Русский, английский, немецкий
Обработка зашифрованных файлов	Да, путем оповещения, в том числе архивы, документы	Да, перемещение в карантин или уведомление	Да, оповещения, помечается как «нераспознанный»	Да, например, файлы Word, Excel и PDF, архивы, письма с шифрованием PGP	Да (специальные политики обработки для DOC, DOCX, XLS, XLSX, PPT, PPTX, PDF, ODB, ODF, ODG, ODP, RAR, ZIP)	Да, создаётся уведомление и архивы с паролем и другие зашифрованные файлы помещаются в специальное хранилище
Поддержка опечаток	Да	Да, по-умолчанию отключено	Да	Да	Да	Нет
Предустановленные словари	Да, по ограниченным категориям	Да, в том числе по отраслевым	Да, по тематическим	Да, различные категории	Да	Да
Оптическое распознавание изображений (OCR)	Да, встроенный модуль OCR	Да, Tesseract или ABBYY FineReader	Да, ABBYY FineReader, встроенный модуль OCR	ABBYY FineReader, встроенный OCR	ABBYY FineReader, Tesseract OCR	Да
Технология цифровых отпечатков документов	Текстовые	Текстовые, бинарные	Текстовые, бинарные	Текстовые	Текстовые, бинарные	Текстовые, бинарные
Заявленное применение поведенческой аналитики (UEBA)	Нет	Да	Нет	Нет	Да	Да
Поиск похожего документа	Да, собственный алгоритм	Да	Да, запатентованная технология	Да	Да	Да
Граф-схема взаимодействий персонала	Да	Да	Да	Да	Да	Да
Рейтинг нарушителей	Да, грануляция вплоть до каждой политики и канала	Да, количество нарушений	Да	Да	Да	Да
Досье и карточки сотрудников	Да, автозаполнение	Да	Да, автозаполнение карточки сотрудника, досье заводится отдельно	Да	Да, карточка	Да
Построение контентных маршрутов	Да, графическое отображение	Да, графическое отображение	Да, графическое отображение	Да	Нет	Да
Выявление стеганографических контейнеров	Нет	Нет	Нет	Нет	Нет	Нет
Системные требования
Минимальные системные требования для серверной части	CPU 8 Core, 32 Gb RAM, 1 Tb HDD	TM Enteprise: 2xCPU 8 Core, 24 Gb RAM, 600 Gb HDD, Одна из поддерживаемых СУБД, Сервер БД: 2xCPU 6 Core, 16 Gb RAM, 500 Gb HDD, Одна из поддерживаемых СУБД Сервер и сканер Crawler: CPU 2 Core, 2 Gb RAM, 30 Gb HDD, OC Windows 7/8/2008/2012, Сервер Device Monitor: CPU 2 Core, 2 Gb RAM, 1 Gb HDD, OC Windows 2008/2012, Клиент СУБД (согласно установленной для TM Enterprise) Сервер Person Monitor: CPU 2 Core, 512 Mb RAM, 100 Mb HDD, OC Windows XP/Vista/7/8/10/2000/2008/2012/2016, Одна из поддерживаемых СУБД	Процессор: 2-ядерный частотой 2,5 ГГц, Оперативная память: 4 ГБ, Винчестер: 500 ГБ, Сетевая карта: 100 Мбит/с (рекомендуется 1Гбит/с), Операционная система: Windows Server 2012, 2008 R2 или выше. Рекомендуется на отдельном сервере установить сервер баз данных под управлением СУБД Microsoft SQLServer 2008 R2 или выше.	Процессор 2,2+ ГГц (4 ядра и более), Сетевые адаптеры 1 Гбит (2 адаптера при централизованном перехвате), Оперативная память 6 ГБ и более, Жесткий диск 100 ГБ раздел для операционной системы и файлов SecureTower (RAID1 / RAID10); раздел для хранения перехваченных данных на RAID1 / RAID10, Видеокарта, Поддерживаемые ОС Microsoft Windows Server 2008R2/2012/2016 (x64). Сервера сетевого трафика Microsoft Windows Server 2008R2, Предустановленные компоненты Microsoft .Net Framework 4.7 или более актуальная версия, Microsoft Visual C++ Redistributable 2008/2010/2013 и 2015 (x86/x64)	Сервер Zecurion Traffic Control процессор: Pentium 4 и выше; оперативная память: 1 ГБайт и выше; ОС: Microsoft Windows 7/8/10, Microsoft Windows Server 2008 R2, 2012, 2012 R2, 2016 прочие программные средства: Microsoft SQL Server 2008, 2008 R2, 2012, 2014, 2016 или PostgreSQL 9.6, Microsoft Forefront TMG, Microsoft Exchange 2007/2010/2013/2016 (x64). Сервер Zecurion DLP процессор Pentium 4 и выше; оперативная память 1 ГБайт и выше; ОС: Microsoft Windows 7/8/10, Microsoft Windows Server 2008 R2, 2012, 2012 R2, 2016; свободный объем на жестком диске: 240 МБ; прочие программные средства: Microsoft SQL Server 2008, 2008 R2, 2012, 2014, 2016 – для хранения политик и настроек. Сервер Zecurion Reports процессор: Intel Core и выше;оперативная память: 2 ГБ и выше;свободный объем на жестком диске: 500 МБ;ОС: Microsoft Windows 7/8/10, Microsoft Windows Server 2008 R2, 2012, 2012 R2, 2016. Прочие программные средства: Microsoft SQL Server 2008, 2008 R2, 2012, 2014, 2016; PostgreSQL 9.6 и выше. Zecurion Device Control процессор Pentium: 4 и выше; оперативная память: 1 ГБ и выше; ОС: Microsoft Windows XP SP3, Vista SP1, Microsoft Windows 7/8/10, Microsoft Windows Server 2003 SP2, 2008 R2, 2012, 2012 R2, 2016. Прочие программные средства: Microsoft SQL Server 2008, 2008 R2, 2012, 2014, 2016 или PostgreSQL 9.6 — для сохранения инцидентов. Zecurion Discovery процессор: Pentium 4 и выше; оперативная память: 1 ГБ и выше; ОС: Microsoft Windows 7/8/10, Microsoft Windows Server 2008 R2, 2012, 2012 R2, 2016. Прочие программные средства: Microsoft SQL Server 2008, 2008 R2, 2012, 2014, 2016 или PostgreSQL 9.6 — для сохранения инцидентов. Сервер Zecurion Staff Control: процессор Intel Xeon E5-2603 v3 и выше, оперативная память от 8 ГБ и выше, операционная система Ubuntu Server 14.04 LTS (16.04 LTS)	Количество ядер — 6 Тактовая частота — 2.2 ГГц Объем оперативной памяти — 24 ГБ Объем жесткого диска — 600 ГБ
Системные требования для рабочего места администратора	Любой компьютер, ноутбук или мобильное устройство с установленным браузером	Device Monitor: CPU 1 Core, 1 Gb RAM, 35 Mb HDD, OC Windows XP SP3/Vista SP2/7/8/10/2008/2012 Для доступа через веб — любое устройство с установленным браузером	Любой компьютер, ноутбук с возможностью удаленного подключения к консолям управления на сервере	Процессор 2 ГГц и выше Сетевые адаптеры 100 Mбит/1 Гбит Оперативная память не менее 4 ГБ Жесткий диск 300 MБ свободного пространства Видеокарта поддержка DirectX 7.0 и выше (разрешение экрана 1024 x 768) Поддерживаемые ОС Microsoft Windows Vista/7/8/10/2008/2012 /2016 (x86/x64) Предустановленные компоненты Windows Net Framework 4.7 или более актуальная версия, Microsoft Visual C++ Redistributable 2008/2010/2013 и 2015 (x86/x64)	Любой компьютер, ноутбук или мобильное устройство с установленным браузером	Любой компьютер, ноутбук или мобильное устройство с установленным браузером
Системные требования для агентской части	Intel Pentium 4 2 ГГц или выше, 512 MB RAM, свободно 500 МБ на диске, OC: Microsoft Windows XP/2000/Vista/7/8/10/Server 2003/2008/2012	Device Monitor: CPU 2 Core, 2.5 Gb RAM, 320 Gb HDD, OC Windows XP SP3/Vista SP2/7/8/10/2008/2012, Person Monitor: CPU 2 core, 2.5 Gb RAM, 1 Gb HDD, OC Windows 7/8/10	Процессор: 1-ядерный частотой не ниже 2 ГГц, ОЗУ: не менее 1 ГБ, Общее дисковое пространство: 250 ГБ (системный раздел диска – не менее 50 ГБ), ОС семейства Windows	Процессор 600 МГц и выше, Сетевые адаптеры, Оперативная память 256 МБ и более, Жесткий диск 15-25 МБ свободного пространства, Видеокарта, Поддерживаемые ОС Microsoft Windows XP SP3/Vista/7/8/10/Server 2003/2008/2012/2016 (x86/x64)	Процессор Pentium 4 и выше, оперативная память 2 ГБ и выше, операционная система Microsoft Windows XP SP3, Vista SP1, Microsoft Windows 7/8/10, Microsoft Windows Server 2008 R2, 2012, 2012 R2	CPU — не менее 2-ядерного. ОЗУ — 2 ГБ (Windows), 1 ГБ (Linux). Свободное место в системном разделе жесткого диска — 50 ГБ (Windows), 10 ГБ (Linux)
Схемы поставки
Поставляемые логические компоненты системы	Анализатор, хранилище, агенты рабочих мест	InfoWatch Traffic Monitor, InfoWatch Device Monitor, InfoWatch Crawler, InfoWatch Forensic Storage, InfoWatch Device Monitor Mobile, InfoWatch Vision	Платформы для перехвата данных: NetworkController, EndpointController Администрирование (клиент-серверные приложения под ОС Windows): AlertCenter, ReportCenter, DataCenter, Агенты рабочих мест	Центральный сервер, сервер перехвата, сервер пользователей, сервер обработки данных, сервер контроля агентов, сервер обработки почты, центр отчетности, центр безопасности, сервер мониторинга состояния, агенты	Zgate (серверы): Traffic Control, Zecurion DLP, Zecurion Report Zlock (серверы): Zecurion Device Control + агенты Zdiscovery (серверы): Zecurion Discovery + агенты	Dozor core: Multi Core, Long-Term Archive Dozor Data Profiling and Protection: Mail Server Connector, Traffic Agent, Web Proxy, Endpoint Agent, File Crawler Dozor Personal Profiling and Analytics
Лицензирование	По скорости трафика в точке съема, по количеству агентов рабочих мест	По используемым продуктам, по числу модулей перехвата, по количеству технологий детектирования	По числу модулей, по количеству рабочих мест	По количеству рабочих мест и компонентов	По числу конкретных продуктов, модулей, по количеству рабочих мест	По числу аналитических модулей и контролируемых рабочих станций
Лицензии сторонних производителей	Не требуются	Сторонних СУБД (Oracle, MS SQL и иных), Сторонних ОС (MS Windows), OCR (ABBYY)	Сторонних СУБД (MS SQL), Сторонних ОС (MS Windows)	Сторонних СУБД (MS SQL, Oracle), Сторонних ОС (MS Windows), OCR (ABBYY)	Сторонних СУБД (MS SQL, Oracle), Сторонних ОС (MS Windows), OCR (ABBYY)	Сторонних СУБД (Oracle)
Возможность поставки в виде ПАК	Да, стандартная схема поставки	Да, стандартная схема поставки	Да, по запросу	Да, по запросу	Да, по запросу	Да, по запросу

Проведенный сравнительный анализ позволяет сделать вывод, что в процессе развития своих продуктов производители стараются перенимать лучшие практике друг у друга, обогащая функционал как на основании общих тенденций рынка, так и с учетом пожеланий своих заказчиков. Однако есть и интересные моменты, связанные с собственной уникальной технологической стратегией и особенностями позиционирования, характерные для каждого решения. Остановимся на некоторых из них.

Гарда Предприятие

Плюсы:

• Легко разворачивается, не требуется никаких лицензий на стороннее ПО.
• Единый веб-интерфейс настройки, управления и повседневной работы с продуктом.
• Модули продукта отдельно не лицензируются, всегда доступен полный функционал.
• Обнаружение и декодирование максимального числа типов трафика.
• Практически неограниченная производительность по обработке трафика, связанная с архитектурными особенностями решения.
• Высокая скорость поиска и анализа данных, даже глубоко ретроспективных, благодаря собственной системе хранения.
• Режимы блокировки с минимальным порогом ложных срабатываний.

Минусы:

• Нет агентов под специализированные ОС (MacOS, мобильные платформы, *nix).
• Нет тесной интеграции со сторонними, прежде всего, защитными решениями.
• Нет блокировки писем электронной почты.

Infowatch Traffic monitor Enterprise

Плюсы:

• Агенты под отечественный Astra Linux и мобильные устройства.
• Большое количество технологий распознавания и анализа данных.
• Поддержка морфологии большого числа языков.
• Широкий набор готовых лингвистических словарей.
• Модуль поведенческой аналитики.
• Интеграция со сторонними решениями.
• Наличие у производителя глубоких консалтинговых компетенций.

Минусы:

• Политика лицензирования, учитывающая не только отдельные модули, но и технологии.
• Анализ доступных в прессе сведений о публичных поставках позволяет говорить о стоимости внедрения решения, как «выше рынка».
• Высокая модульность решения на текущий момент может частично препятствовать удобному управлению через единую консоль.

Контур информационной безопасности

Плюсы:

• Модульная, но в тоже время достаточно удобная система лицензирования.
• Большое число категорированных лингвистических словарей с гибкими настройками.
• Собственная система распознавания голоса.
• Наличие большого числа технологий, ориентированных на тотальный контроль действий пользователя на рабочем месте.
• Получение важного (с точки зрения анализа) дополнительного источника данных, благодаря интеграции с системами СКУД.
• Тесная интеграция с собственной SIEM-системой.
• Функционал шифрования данных на USB-устройствах.

Минусы:

• Основная часть решения работает на платформе Windows.
• Разные консоли управления для разных компонентов.
• Обязательное наличие лицензий сторонних производителей.

SecureTower

Плюсы:

• Низкие системные требования.
• Интеграция с сетевым решение EtherSensor.
• Анализ доступных в прессе сведений о публичных поставках позволяет говорить о стоимости внедрения решения, как «ниже рынка».
• Высокая скорость внедрения при наличии всех классических технологий контроля.
• Наличие широких возможностей по блокировкам.
• Поддерживается контроль всевозможных мессенджеров, как современных, так и устаревших.
• Удобная система лицензирования и масштабирования.

Минусы:

• Нет агентов под специализированные ОС (MacOS, мобильные платформы, *nix).
• Разные консоли управления для разных компонентов.
• Отсутствует подтверждение присутствия в реестре отечественного ПО.

Zecurion DLP (Zgate, Zlock, Zdiscovery)

Плюсы:

• Широкий набор зрелых технологий по распознаванию и анализу.
• Наличие в ассортименте производителя полного комплекса продуктов по направлениям близким к DLP и защите от внутренних угроз.
• Единственное (пока) отечественное решение на рынке с агентом под MacOS.
• Предоставление производителем полного спектра консалтинговых услуг по информационной безопасности.
• Единый веб-интерфейс анализа оперативной обстановки и отчетности.
• Тесная интеграция с большим числом собственных продуктов.
• Поведенческая аналитика.

Минусы:

• В состав комплексного DLP-решения входят отдельные продукты, каждый из которых, в общем случае, со своей системой лицензирования, установки и управления.
• Нет контроля IP-телефонии.
• Наличие сертификата ФСТЭК только на один (не основной) продукт в составе всего решения.

Solar Dozor

Плюсы:

• Единый веб-интерфейс управления, один из самых зрелых на рынке.
• Концептуально иной подход к работе с DLP, основанный на контроле оперативной обстановки и инцидент-менеджменте.
• Широкая поддержка агентом альтернативных системе Windows операционных систем.
• Интеграция с большим числом сторонних бизнес-решений.
• Тесная интеграция с собственными решениями по безопасности, а также с сервисом JSOC.
• Собственная интерпретация поведенческой аналитики, появившаяся в продукте раньше, чем у конкурентов.
• Большое число визуально-воспринимаемых и структурированных карт, диаграмм, отчетов.

Минусы:

• Отсутствие поддержки некоторых популярных протоколов.
• По сравнению с конкурентами, небольшое число технологий анализа.
• Недостаточно полный функционал по контролю рабочих мест пользователей.

Некоторые аспекты, которые необходимо учесть при рассмотрении всех представленных в обзоре DLP-решений:

• Несмотря на заявленный некоторыми производителями функционал поведенческого анализа, его реальную практическую пользу можно будет оценить спустя некоторое время, необходимое на «обкатку» такого нововведения. На текущем этапе реализации описанный инструмент выглядит скорее вспомогательным.
• Один из известных способов обхода систем DLP – упаковка данных в стеганографический контейнер. Программное обеспечение для таких нужд, в том числе свободное, можно без труда найти в Интернете. К сожалению, с такими методами злоумышленников ни один производитель еще не научился бороться. В этой связи безусловным преимуществом будут обладать те из них, кто первыми справится с описанной проблемой.
• Постоянное обновление российского законодательства в сфере цифровых технологий и в области информационной безопасности требует от любого отечественного производителя наличия профильных лицензий, сертификатов на продукты и присутствия в реестре отечественного ПО.
• Удобство управления и широта функционала визуального представления результатов анализа постепенно ставятся во главу угла даже теми производителями DLP-систем, которые изначально не уделяли этим аспектам должного внимания. Однако этот процесс только набирает обороты.

Перспективы и векторы развития DLP-систем

Несмотря на очень высокий уровень зрелости как отдельных DLP-решений, так и всего рынка в целом, производителям, вне всяких сомнений, есть куда расти. Основные запросы компаний к разработчикам сегодня касаются повышения производительности, улучшения интерфейса, расширения технологических возможностей. Такие запросы формируют вектор технического развития всех DLP-систем. Но есть стратегические векторы, которые могут в корне изменить подход к DLP. Во-первых, сотрудники служб ИБ стремятся максимально автоматизировать свои ручные операции, а это приведет к усовершенствованию инструментов аналитики, внедрению новых средств, таких как UEBA (User and Entity Behavior Analytics), а также методов машинного обучения. Во-вторых, количество контролируемых каналов и приложений пользователей постоянно растет, объемы собираемых данных становятся поистине огромными, и здесь в более выигрышном положении окажутся те производители, которые уже используют технологии Big Data в своих продуктах.

Помимо общих трендов, которые придется учитывать производителям, у каждого из них есть и собственный стратегический взгляд на развитие своего продукта. Например, некоторые делают ставку на эволюцию DLP в CASB (Cloud Access Security Broker – брокеры безопасного доступа в облако), другие – на улучшение алгоритмов поиска, распознавания (в том числе, голоса), третьи – применяют для анализа и предсказания поведения научные подходы из областей человеческой психологии, лингвистики, психоанализа, графологии и прочих.

Выводы

Подробно разобрав функциональные возможности и характеристики каждого из сравниваемых решений, констатируем, что однозначный вывод о превосходстве того или иного продукта сделать невозможно. Кроме того, решения класса DLP – это не коробочные продукты, для их полноценного внедрения и запуска в промышленную эксплуатацию требуется интеграция в ИТ-инфраструктуру компании, тонкая настройка компонентов, разработка перечня политик, долгая борьба с ложными срабатываниями и преодоление других специфических препятствий.

В этой связи компаниям можно посоветовать внимательно изучить реальные потребности своего бизнеса, описать информационные активы, оценить риски в случае потенциальных утечек критичных данных, а уже после этого запускать полноценный DLP-проект и выбирать решение, максимально учитывающее его актуальные задачи.

При подготовке статьи была использована информация из открытых источников (актуальная на момент публикации статьи), официальных сайтов производителей DLP-решений, информационно-аналитических порталов Anti-malware, Habrahabr, ISO27000, TAdvider и др.

Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru

• #1

Добрый день!
Я уже, наверное, тут всех замучила со своими вопросами. Больше не к кому обратиться. Спасибо, что помогаете)
Solar Dozor 7.3
Застряла с созданием политик.
Пытаюсь создать политику. Простую, чтобы понять их схему работы.
Например:
Условие: *Имя файла содержит «Тест»

Создаю новое правило и добавляю туда условие. Применяю политику.
Новую политику пробовала создавать и в разделе «Политики». Пробовала просто добавлять условие в Головную политику.
Пробовала создавать новое правило с условием в головной политике.
Но письмо с вложенным файлом «Тест» не попадает в раздел «События и инциденты».

В мануале читала, что алгоритм применения правил следующий:
Порядок применения правил:

• Применяются наборы правил контроля групп и информационных объектов;
• Применяется набор правил, который пользователь назначил головным (главным).

Подскажите, пожалуйста, может еще какие-то настройки нужно делать?

Заранее большое спасибо.

• #2

Но письмо с вложенным файлом «Тест» не попадает в раздел «События и инциденты».

Политика применяется к агенту ?

• #3

Политика применяется к агенту ?

Добрый день.
Спасибо большое за ответ.
Конкретно эта политика не применяется к агенту.

Как я понимаю, в Solar есть канал коммуникации «Внутренняя почта». За него должен отвечать модуль Dozor Mail Server Connector. И правила с условиями обработки почтовых сообщений должны применяться автоматически (извините, если что-то путаю).

А агент использует модуль Dozor Endpoint Agent и обрабатывает события типа: Endpoint/application, Endpoint/device… Ко всем агентам применяется политика «Агент». И в политике как-раз указаны условия с Endpoint/application, Endpoint/device.. Для каждого пользователя отображается статистика, по подключениям USB, запуску приложения. Я их вижу.
Но могу ли я к политикам агента добавить условия для канала коммуникации «Внутренняя почта». (Тип сообщения: Email, Тип сообщения: Exchange ..). Насколько я понимаю, это совсем другой канал коммуникации и Агент с модулем Dozor Endpoint Agent не будет обрабатывать почтовый трафик.
Или я что-то путаю?
Спасибо.

• #4

Тут много зависит от архитектуры внедрения непосредственно в вашей организации, какие компоненты DLP используются, используется ли зеркалирование траффика через SPAN порт, проходит ли почтовый или веб траффик через DLP и тд, цифровые отпечатки и прочее 😐..

Таки еще раз — какая задача? Вы хотите что то в почтовом траффике искать ? Если да то судя из описания ниже вам надо настраивать Dozor Mail Server Connector

Dozor Mail Server Connector​

Модуль контроля коммуникаций через корпоративные почтовые системы.

Основные функции модуля:
1 Мониторинг сообщений почтовых серверов: Microsoft Exchange Server, CommuniGate Pro и других популярных SMTP серверных платформ
2 Мониторинг и блокирование отправки почтового сообщения, нарушающего политики безопасности, безусловно или до получения подтверждения отправки от администратора безопасности или пользователя (карантин)
3 Возможность реконструкции почтовых сообщений — функционал изменения (реконструкции) сообщений SMTP – возможно удаление нарушающих политику частей, в т.ч. части содержимого архивов, добавление стандартных подписей
via

Если речь про сетевой траффик то

Dozor Traffic Agent​

Модуль перехвата и распознавания сетевого трафика – сниффер (зеркалирование со SPAN–порта) обеспечивает разбор, анализ и восстановление протоколов прикладного уровня и извлечение из них контента сообщений с последующей отправкой их в Solar Dozor Core для анализа и хранения.
via

ну и другие каналы утечек = другие агенты..

• #5

Вот неплохая запись вебинара по Solar Dozor 7

Тут много зависит от архитектуры внедрения непосредственно в вашей организации,

Да поддерживаю! Ибо их может быть несколько

• #6

Но письмо с вложенным файлом «Тест» не попадает в раздел «События и инциденты».

Значит почтовый траффик не проходит через DLP или возможно включен режим Monitoring а не Prevent (в разных DLP по разному называется Transparent или еще как-нибудь, смысл режима -только наблюдать, «пылесосить» траффик и ничего не блокировать).

• #7

Тут много зависит от архитектуры внедрения непосредственно в вашей организации, какие компоненты DLP используются, используется ли зеркалирование траффика через SPAN порт, проходит ли почтовый или веб траффик через DLP и тд, цифровые отпечатки и прочее 😐..

Таки еще раз — какая задача? Вы хотите что то в почтовом траффике искать ? Если да то судя из описания ниже вам надо настраивать Dozor Mail Server Connector

Если речь про сетевой траффик то

ну и другие каналы утечек = другие агенты..

Огромное спасибо за помощь!

• #8

Значит почтовый траффик не проходит через DLP или возможно включен режим Monitoring а не Prevent (в разных DLP по разному называется Transparent или еще как-нибудь, смысл режима -только наблюдать, «пылесосить» траффик и ничего не блокировать).

Зачем тогда DLP — если ничего не блокировать?

• #9

Значит почтовый траффик не проходит через DLP или возможно включен режим Monitoring а не Prevent (в разных DLP по разному называется Transparent или еще как-нибудь, смысл режима -только наблюдать, «пылесосить» траффик и ничего не блокировать).

Спасибо за комментарий! Сейчас поищу в каком режиме.

• #10

Зачем тогда DLP — если ничего не блокировать?

Ну обычно так и делают — берут на «пилот» ставят в SPAN порт, потом собирают данные какое то время, потом показывают отчеты, потом летят головы и ж..пы с кресел.

• #11

Зачем тогда DLP — если ничего не блокировать?

От себя могу добавить, что инциденты и сообщения она выявляет. А для блокирования HTTP/HTTPS применяется Proxy. А дальше буду разбираться( Совсем я новый человек в этой DLP((((

• #12

Вот неплохая запись вебинара по Solar Dozor 7

Да поддерживаю! Ибо их может быть несколько

Спасибо большое за помощь! Сейчас просвещусь. И за ссылку на доки спасибо.

• #13

От себя могу добавить, что инциденты и сообщения она выявляет. А для блокирования HTTP/HTTPS применяется Proxy. А дальше буду разбираться( Совсем я новый человек в этой DLP((((

Dozor Web Proxy​

Модуль контроля веб трафика, предназначен для защиты корпоративных локальных вычислительных сетей от рисков, связанных с использованием веб ресурсов.

Я конечно не знаю как она лицензируется, может просто нет этих компонентов, или они не развернуты. Я работал с McAfee Network DLP и Safetica DLP, Infowatch , видел Стахановец и Falcongeze, больше по ним.. А тут — хз нужно смотреть, будут мысли пишите, давайте скриншоты. Чем сможем поможем😎

Lera

Активный участник

• #14

Условие: *Имя файла содержит «Тест»

Если эта DLP поддерживает цифровые отпечатки то можно идентифицировать инцидент по этому критерию

• #15

А для блокирования HTTP/HTTPS применяется Proxy

Сертификат не просрочен, который для расшифровки https используются?

• #16

Сертификат не просрочен, который для расшифровки https используются?

это видимо не тот случай.. Имеется в виду Dozor Web Proxy

• #17

Сертификат не просрочен, который для расшифровки https используются?

Извините, немного не так выразилась. В качестве Proxy используется другой soft, не Dozor.

Основная статья: DLP — Data Loss / Leak Prevention — Технологии предотвращения утечек конфиденциальной информации

Решение Solar Dozor предназначено для контроля коммуникаций сотрудников, выявления ранних признаков корпоративного мошенничества и проведения расследований. Как классическая DLP-система, Solar Dozor решает задачи по мониторингу, фильтрации и анализу каждого сообщения на наличие конфиденциальной информации. Кроме этого, Solar Dozor осуществляет также накопление всей переписки сотрудников, что позволяет проводить в дальнейшем ретроспективный анализ и расследования на всем объеме сохраненных коммуникаций сотрудников.

2023

Solar Dozor 7.9

25 апреля 2023 года компания «Ростелеком-Солар» представила обновленную версию системы предотвращения утечек информации Solar Dozor 7.9. В обновлении появилась возможность создавать иерархию групп рабочих станций, развертывать Linux-агент на рабочих станциях через веб-интерфейс Solar Dozor, контролировать передачу данных через VK Teams, eXpress и Airdrop, передавать события и инциденты из Solar Dozor в различные SIEM-системы в режиме реального времени и ряд других опций.

По информации компании, в Solar Dozor 7.9 оптимизированы функции управления endpoint-агентами. Так, оптимизировалось управление группами рабочих станций. В предыдущих версиях нельзя было создать подгруппы рабочих станций – все группы находились на одном уровне иерархии. Теперь такая возможность появилась, и она будет особенно востребована крупными мультифилиальными компаниями с разветвленной структурой групп рабочих станций.

Начиная с версии 7.9, Linux-агент Solar Dozor можно развертывать с помощью веб-интерфейса DLP-системы. Ранее установка проводилась только посредством shell-скрипта. Теперь же в веб-интерфейсе можно запускать процесс развертывания агента и всех необходимых пакетов на рабочих станциях, управлять дистрибутивами агента и наборами этих дистрибутивов, учетными записями пользователей с правами на установку Linux-агента. Реализация этой функции оптимизирует процесс массовой установки агента на компьютерах пользователей, особенно для крупных компаний с большим парком рабочих мест на базе Linux и для тех, кому предстоит перейти на эту ОС.

В модуле Dozor Endpoint Agent для Windows разработан, не зависящий от протокола механизм перехвата сообщений, передаваемых в WhatsApp Desktop, обеспечивающий более надежный по сравнению с предыдущей реализацией перехват.
Перехватываются данные, передаваемые окну приложения (мессенджера), которое сотрудник использует на своей рабочей станции. Кроме того, в обновленной версии Solar Dozor существенно расширен набор контролируемых каналов передачи данных. В частности, на рабочих станциях под управлением macOS обеспечивается перехват и блокировка
передачи файлов через AirDrop. Осуществляется перехват файлов (документов и изображений), передаваемых с помощью AirDrop с рабочего стола компьютера пользователя, из файлового менеджера Finder или напрямую из приложений, а также блокировка передачи файлов через AirDrop при соответствующей настройке политики.

Также взята под контроль коммуникация в отечественных мессенджерах VK Teams и eXpress. Отправляемые сотрудниками через эти мессенджеры сообщения и файлы перехватываются системой Solar Dozor и проходят проверку в соответствии с условиями политики безопасности организации. Теперь офицер безопасности может найти и просмотреть переписку сотрудника в VK Teams и eXpress, сообщения в групповом чате eXpress и список участников чата, настроить политику безопасности с учетом перехвата сообщений и файлов в eXpress и VK Teams. Изменение значимо снижает риск утечки конфиденциальных данных из компаний.

Вопрос контроля передачи информации в мессенджерах на апрель 2023 года весьма актуален — это очень важный канал коммуникаций, который по интенсивности общения не уступает корпоративной почте, а в части передачи чувствительной информации даже и превосходит ее. Сотрудники компаний пользуются для обмена информацией и корпоративными – теперь преимущественно отечественными, и публичными мессенджерами, а значит, риски утечек конфиденциальных данных существуют в обоих случаях, и такие коммуникации обязательно нужно контролировать. подчеркнул Илья Лушин, руководитель продукта Solar Dozor компании «Ростелеком-Солар»

Досье сотрудников в Solar Dozor 7.9 может пополняться данными из дополнительного источника: реализована поддержка LDAP-сервера со свободной лицензией и открытым программным кодом – FreeIPA (389 Directory Server). Помимо сведений о сотрудниках, из этого источника также можно получить список рабочих станций (например, для установки на
них агентов).

Также в версии 7.9 расширены интеграционные возможности DLP-системы. В интерфейсе реализована настройка передачи событий и инцидентов из Solar Dozor в различные SIEM-решения в режиме реального времени с помощью выгрузки необходимых данных в syslog – журнал, который поддерживается большинством SIEM-систем. Это позволяет пользователям централизованно обрабатывать события безопасности сразу из нескольких систем.

Пользователи Solar Dozor 7.9 заметят некоторые обновления интерфейса системы. Так, раздел Перехватчики был разделен на разделы Endpoint Agents и File Crawler. В каждый из разделов добавлены возможности навигации, поиска, настройки отображения элементов. В разделе Поиск переработан интерфейс форм запроса для быстрого и расширенного поисков, а также для шаблонов. Расширены возможности использования быстрого поиска по беседам и работы с результатами поиска.

И, наконец, разработчики обновленной версии уделили внимание оптимизации контроля за работоспособностью системы. В Solar Dozor версии 7.9 появились триггеры, позволяющие оперативно контролировать: отсутствие входящего трафика от Dozor Traffic Analyzer, истечение срока действия пароля учетной записи для синхронизации с AD, недоступность мастер-узла и подчиненных узлов кластера, имеющих сервис Досье. Теперь администратор системы может использовать больше инструментов для анализа текущего состояния и работоспособности Solar Dozor.

Совместимость с защищенным корпоративным мессенджером EXpress

В рамках стратегии обеспечения безопасности корпоративных коммуникаций специалисты российской платформы eXpress и «Ростелеком-Солар», разработчика DLP-системы Solar Dozor, выпустили официальный сертификат совместимости двух продуктов. Перед этим интеграцию неоднократно протестировали в испытаниях и нескольких крупных проектах. Об этом 21 февраля 2023 года сообщили в компании «Ростелеком-Солар».

Контроль информации в корпоративных мессенджерах – одна из ключевых возможностей Solar Dozor. С помощью востребованной функции офицеры ИБ российских компаний предотвращают утечки конфиденциальной информации через мессенджеры и проводят расследования инцидентов безопасности.

Чтобы в условиях импортозамещения повысить уровень защиты данных от внутренних инцидентов, в Solar Dozor была добавлена функция мониторинга платформы коммуникаций и мобильности eXpress. Теперь компании подтвердили возможность двусторонним сертификатом совместимости.

В своих продуктах компания планомерно следует путем импортозамещения, обеспечивая совместимость со все большим набором российских операционных систем и технологий передачи данных. В арсенале возможностей Solar Dozor — мониторинг набора наиболее распространенных в корпоративной среде мессенджеров, таких как WhatsApp, Telegram, Skype, Cisco Webex Teams, MS Lync, Viber. Теперь к ним добавился eXpress, отметил Илья Лушин, руководитель продукта Solar Dozor «Ростелеком-Солар».

Оба продукта входят в единый реестр отечественного ПО и сертифицированы ФСТЭК России. Это говорит о том, что Solar Dozor и eXpress соответствуют высоким требованиям безопасности. Корректную работу в результате интеграции решений подтверждает официальный сертификат совместимости.

Интеграция eXpress с продуктами «Ростелеком-Солар» – это возможность для компаний комплексно подойти к вопросу обеспечения необходимого уровня защиты данных в организации. Не просто внедрить разрозненные продукты, а объединить их в единую инфраструктуру,

Совместимость Solar Dozor 7.8 с ОС Astra Linux Special Edition 1.7

12 января 2023 года ГК «Астра» сообщила о том, что совместно с разработчиком системы защиты от утечек информации (DLP) «Ростелеком-Солар» завершили серию тестов работоспособности ПО Solar Dozor 7.8 в среде ОС Astra Linux Special Edition 1.7, в том числе с установленным кумулятивным оперативным обновлением безопасности «Бюллетень № 2022-0819SE17». Результаты исследований подтвердили, что программные продукты совместимы, и решение было сертифицировано в рамках программы технологической кооперации ИТ-производителей Ready for Astra Linux (сертификат № 9647/2022).

DLP-система Solar Dozor блокирует передачу конфиденциальных документов за пределы организации, помогает выявлять признаки корпоративного мошенничества и позволяет обеспечить профилактику инцидентов безопасности. Набор ее возможностей включает контроль основных каналов утечек с помощью анализа сетевого трафика и агентов на рабочих станциях, поисковый механизм с активным режимом работы для контроля локальных и облачных хранилищ, инструменты для анализа поведения пользователей, позволяющие предупреждать инциденты и противодействовать инсайдерам, функцию территориально распределенного режима работы, ретроспективный анализ почтового архива для выявления утечек в трафике, накопленном до начала использования DLP-системы. Среди ключевых особенностей решения вендор выделяет простоту и удобство в использовании, высокую производительность, наличие полнофункционального агента для всех известных платформ, включая Astra Linux, поддержку технологии VDI и фокус на человеке: система концентрируется не на движении информации, а на сотрудниках, их связях и поведении.

Solar Dozor включен в «Единый реестр российских программ для электронных вычислительных машин и баз данных» Минцифры и сертифицирован ФСТЭК России на соответствие требованиям безопасности информации по 4-му уровню доверия и технических условий ТУ 5014-003-17764670-2019.

Импортозамещение в 2023 году идет в российских организациях полным ходом. Поэтому компания считает своей задачей помочь компаниям, мигрирующим на отечественные операционные системы, сделать это максимально безопасно, обеспечив совместимость с данными ОС широкого пула решений безопасности, разрабатываемых компании. Компания помогает заказчикам быстро и просто развернуть необходимую каждой организации систему защиты от утечек, теперь и в среде ОС Astra Linux Special Edition 1.7, отметил Алексей Кубарев, руководитель отдела развития бизнеса центра продуктов Dozor ООО «Ростелеком-Солар».

С появлением различных киберугроз многие организации сталкиваются с утечкой информации. Как и коллеги по отрасли, компания постоянно мониторит ситуацию с возникающими уязвимостями и возможностями для кибератак и быстро адаптирует свое ПО к меняющимся обстоятельствам. Однако, чтобы качественно защитить ИТ-инфраструктуры клиентов, вендорам необходимо не просто реализовывать какие-то собственные доработки, а объединять экспертизу и делать так, чтобы после обновления продуктовые стеки продолжали корректно и стабильно работать. Компания благодарна коллегам из «Ростелеком-Солар» за оперативное и слаженное взаимодействие в части тестирования и обеспечения совместимости софта. Эта эффективная кооперация дает уверенность, что совместные решения справляются с задачей защиты ИТ-систем и данных, прокомментировал Дмитрий Тараканов, руководитель департамента развития технологического сотрудничества ГК «Астра

2022

Совместимость Solar Dozor 7.8 с «Ред ОС»

Российские разработчики «РТК-Солар» и «РЕД СОФТ» 13 декабря 2022 года объявили о совместимости последней версии системы предотвращения утечек информации Solar Dozor 7.8 с операционной системой РЕД ОС. Подтверждена совместимость с данной отечественной операционной системой как агентской, так и серверной части DLP-решения производства «РТК-Солар». Тестирование проведено в рамках планомерного расширения «РТК-Солар» возможностей своих ИБ-решений в направлении импортозамещения.

В 2022 году импортозамещение в России по сути стало обязательным; многие заказчики в срочном порядке переходят на отечественные решения, включая различные операционные системы. Реализуя совместимость наших продуктов по кибербезопасности с российскими ОС, мы помогаем нашим заказчикам оперативно внедрить у себя такие необходимые российским организациям средства защиты от актуальных угроз, – отметил Алексей Кубарев, руководитель отдела развития бизнеса Центра продуктов Dozor «РТК-Солар».

Расширение совместимости последних версий программного обеспечения с российскими Linux-платформами является актуальной задачей, об оперативном решении которой очень часто говорят в ИТ-среде. Полноценная работоспособность обновления системы Solar Dozor 7.8 в экосистеме РЕД ОС доказывает, что разработчики идут в верном направлении и настроены позитивно в вопросах создания импортонезависимого техностека, – рассказал заместитель генерального директора РЕД СОФТ Рустам Рустамов.

Solar Dozor 7.8

Компания «РТК-Солар» сообщила 2 декабря о выпуске следующей версии системы предотвращения утечек информации Solar Dozor 7.8. В обновлении реализованы изменения в политике модуля Dozor Endpoint Agent, в модуль UBA добавлен источник данных – мессенджеры, расширена совместимость с отечественным ПО, улучшена производительность технологии распознавания графических объектов.

Ключевым нововведением версии 7.8 стали изменения в логике работы политики, применяемой в модуле контроля действий сотрудников на рабочих станциях Dozor Endpoint Agent. Теперь правила политики можно применять не только к рабочим станциям, как это было ранее, но и к конкретным пользователям или группам пользователей компании. Это значительно повысит качество работы политики безопасности DLP-системы и гибкость ее применения, а также упростит настройку и обслуживание.

В этой версии было сделано значимое для продукта изменение в правилах политики endpoint-агента по многочисленным просьбам пользователей Solar Dozor. Обновленные правила политики позволят заказчикам более эффективно управлять правами пользователей на контролируемых рабочих станциях, а значит, – снизить риск преднамеренных либо случайных утечек информации, отметил Илья Лушин, руководитель продукта Solar Dozor компании «РТК-Солар».

В целом, функциональность endpoint-агента в обновленной версии была серьезно расширена. В частности, MacOS-агент обрел возможности перехвата нажатий клавиш с клавиатуры рабочих станций (кейлогер), снятия снимков с экрана. Реализован контроль копирования файлов на съемные носители и сетевые диски, а также контроль данных в буфере обмена. А в Linux-агенте появился перехват почты по протоколу EWS для отечественного почтового клиента Evolution, который повсеместно внедряется на рабочих станциях под управлением Linux.

Кроме того, модуль анализа поведения пользователей Dozor UBA теперь работает с еще одним источником данных – мессенджерами, в дополнение к ранее анализируемой информации из электронной почты. Различные сервисы мгновенного обмена сообщениями являются одним из наиболее востребованных каналов – активно используются сотрудниками для решения оперативных вопросов и обмена рабочей информацией. Теперь модуль Dozor UBA будет получать информацию из переписки сотрудников в мессенджерах с агентов на рабочих станциях, что существенно повысит объективность поведенческого анализа и качество работы паттернов поведения (комбинаций поведенческих особенностей и аномалий). Таким образом пользователи Solar Dozor будут видеть более полную картину поведения сотрудников.

Отвечая на вызовы времени, Solar Dozor планомерно расширяет свои возможности в направлении импортозамещения. Так, в версии 7.8 реализована работа системы на отечественных операционных системах РЕД ОС 7.3, Astra Linux SE 1.7 «Смоленск», обеспечена совместимость с системой мониторинга Zabbix версий 5.0 и 5.4, а также с браузерами Yandex и Atom на Windows-платформе.

Большой объем изменений коснулся и пользовательского интерфейса Solar Dozor. Так, был осуществлен переход на быстрый фреймворк Angular, который позволил реализовать обновленную логику работы с карточкой сообщения. Теперь вся информация о перехваченной активности сотрудника доступна в одной карточке сообщения без лишних кликов и переходов.
Кроме того, в интерфейсе был улучшен пользовательский опыт работы со списками событий и инцидентов: повысилась скорость загрузки списков, реализовано сохранение позиционирования событий в списках. Так, ранее при переводе события в статус инцидента или удаления из списка какого-либо инцидента список откатывался к первоначальной версии, что затрудняло работу пользователей. В обновленной версии Solar Dozor изменения в списках сохраняются, а также можно настроить ширину и отображение столбцов при работе со списками.

Также разработчики 7.8 поработали над улучшением производительности технологии распознавания графических объектов. Ранее используемая в DLP-системе модель распознавания графических объектов обеспечивала недостаточную точность определения некоторых графических объектов и была довольно ресурсоемкой. Поэтому разработчики, проведя соответствующие исследования, заменили ее на более актуальную модель искусственной нейронной сети. В результате среднее потребление памяти (RAM avg) снижено примерно на 45%, а точность распознавания графических объектов выросла до 98% (!) Для пользователей DLP-системы это означает снижение риска утечки конфиденциальной информации ввиду более точного распознавание графических объектов, содержащих ключевую информацию.

Одним из основных векторов развития DLP-системы Solar Dozor является максимальная автоматизация рутинных процессов пользователей. В данной версии реализована функция автоматического развертывания модуля Dozor Endpoint Agent на рабочих станциях, вновь добавленных в группы Active Directory (AD). При добавлении станции в группу AD она автоматически добавится и в соответствующую контролируемую группу станций в Solar Dozor. Затем будет произведена автоматическая установка агента на рабочую станцию, а в случае, если она выключена, можно запустить установку по расписанию. Данная функция значительно облегчит пользователям Solar Dozor процесс установки агентов на большое число рабочих станций.

Как анализ поведения пользователей предотвращает инциденты в фармкомпаниях

С недавних пор в отдельных DLP-системах, например, в Solar Dozor, появилась возможность анализа поведения пользователей. В данном случае это отдельный модуль, который формирует профили сотрудников, определяет их типичное поведение и выявляет отклонения. О том, как модуль Dozor UBA помогает предотвратить самые разнообразные корпоративные инциденты, рассказывает Виталий Петросян, аналитик внедрения Центра продуктов Solar Dozor компании «РТК-Солар». Подробнее здесь.

Solar Dozor 7.7

25 мая 2022 года компания «РТК-Солар» сообщила о выпуске обновления системы предотвращения утечек информации Solar Dozor 7.7. В данной версии оптимизирована производительность работы системы в территориально распределенном режиме, скорость фильтрации трафика, реализован контроль содержимого файлов в iCalendar – рабочем календаре сотрудников.

По информации компании, начиная с версии 7.2, DLP-система Solar Dozor может работать в территориально распределенном режиме. На май 2022 года система является единственным решением на рынке, поддерживающим все известные варианты реализации ИТ-инфраструктуры крупных компаний: централизованное размещение серверов обработки данных в головном офисе, локально в каждом филиале и комбинированный вариант размещения. В обновленной версии Solar Dozor 7.7 на локальных веб-серверах реализована возможность скачивания файлов и использования функций быстрого поиска внутри филиала, без дополнительного обращения к общим ресурсам головного офиса. Таким образом снижена нагрузка на каналы связи при передаче данных и производительность работы системы в территориально-распределенном режиме.

Еще один шаг в данной версии сделан в сторону совершенствования политики фильтрации. В решении появилась дополнительная проверка результатов анализа конфиденциальной информации методом регулярных выражений по алгоритму Луна, форматам номеров документов государственного образца, номеров телефонов и пр. Это позволяет ощутимо оптимизировать скорость работы политики, в результате увеличивается скорость фильтрации трафика и снижается нагрузка на офицера ИБ по настройке политики и процент ложноположительных срабатываний.

Одним из недостатков современных DLP-систем до последнего времени являлось отсутствие функции распаковки файлов .ics – событий из рабочего календаря сотрудников, представленных в формате iCalendar. Соответственно, любые файлы, вложенные в эти события, не контролировались, что создавало риски утечки конфиденциальных данных компании. Поэтому в Solar Dozor 7.7 был реализован механизм распаковывания .ics-файлов, визуализации вложения и применения к ним условий политики фильтрации.

Это не самый очевидный канал возможной утечки конфиденциальной информации из компании и тем он опаснее. В своей практике мы часто наблюдаем случаи пересылки подобных сообщений с вложениями из iCalendar за периметр организации, в частности, в компаниях финансовой сферы. Также мы получили немало запросов от заказчиков на решение этой проблемы, поэтому реализовали эту функциональность в обновленной версии. отмечает Илья Лушин, руководитель продукта Solar Dozor компании «РТК-Солар»

Кроме того, в обновлении оптимизировано отображение атрибутов событий календаря в структуре и в тексте сообщения: выводятся основные востребованные пользователями DLP-системы данные – описание события, время, место, сведения об участниках и организаторе.

Ряд возможностей в Solar Dozor 7.7 появился и у endpoint-агента DLP-системы. Так, в версиях Dozor Enpoint Agent для ОС Windows и Linux реализован перехват веб-версии мессенджера Telegram. Теперь обмен сообщениями и файлами в Telegram контролируется при его использовании как в виде приложения, установленного на компьютере, так и при работе в браузере. Также Linux-агент Solar Dozor теперь поддерживает последние версии отечественных и open-source операционных систем, что делает агент востребованным в рамках импортозамещения. Список поддерживаемых отечественных ОС пополнился Astra Linux 1.7 (Орел, Смоленск, Воронеж), РедОС 7.3, ОС в открытым исходным кодом – CentOS 8, Debian 11, Linux Mint 20.3.

Dozor Enpoint Agent для macOS также обрел функциональность контроля подключения USB-устройств – флеш-накопителей и внешних жестких дисков. В обновленной версии реализована поддержка агентом платформы Apple M1, что предоставляет возможность работы агента на mac-устройствах с другой архитектурой. Кроме того, теперь администратор DLP-системы сможет в скрытом режиме развернуть mac-агенты на рабочих станциях посредством решения для корпоративной мобильности AirWatch EMM.

Помимо дополнительных функций в Solar Dozor 7.7 сделан ряд изменений, направленных на удобство использования продукта. В частности, в предыдущих версиях системы глубина сбора информации из архива локальных почтовых ящиков сотрудников Microsoft Outlook составляла не более 14 дней с момента активации перехвата на endpoint-агенте. Однако практика показала, что заказчикам нужен гибкий подход к вопросу глубины сбора данных – кому-то достаточно периода в 1 неделю, а кто-то хочет анализировать информацию не менее чем за месяц. Поэтому теперь в Solar Dozor 7.7 администратор DLP-системы может самостоятельно настроить любой нужный период сбора данных из почтовых ящиков сотрудников.

Сертифицикация ФСТЭК России Solar Dozor 7

Разработка «Ростелеком-Солар» – программный комплекс для предотвращения утечек информации Solar Dozor 7 сертифицирован ФСТЭК России на соответствие требованиям по безопасности информации по 4-му уровню доверия и техническим условиям. Об этом 8 февраля 2022 года сообщили в «Ростелеком-Солар».

Полученный продуктом сертификат соответствия удостоверяет, что Solar Dozor 7 является
программным средством защиты от неправомерной передачи из информационной
системы информации, не содержащей сведений, составляющих гостайну.

«Данный сертификат подтверждает безопасность системы предотвращения утечек информации Solar Dozor – заказчики могут быть уверены в том, что для защиты своих ценных информационных активов они используют проверенное решение. Это в особенности значимо для государственных органов власти, организаций — объектов критической информационной инфраструктуры, а также для компаний любых других сфер экономики, владеющих критичной для бизнеса конфиденциальной информацией. При этом важно понимать, что на российском рынке пока нет специальных требований к сертификации DLP-систем. Поэтому Solar Dozor прошел сертификацию регулятора в полном объеме по общим требованиям доверия, в отличие от большинства конкурирующих решений, которые сертифицированы лишь по узким требованиям к отдельным функциям DLP-систем, например к средствам контроля съемных машинных носителей», отметил Алексей Кубарев, руководитель отдела развития бизнеса Центра продуктов Dozor компании «Ростелеком-Солар»

Сертификация всех 10-ти модулей DLP-системы Solar Dozor 7 длилась 1,5 года.
Программный комплекс прошел полный цикл предусмотренных регулятором экспертиз и
испытаний, по результатам которых испытательная лаборатория АО «Лаборатория ППШ»
и орган по сертификации АО «НПО Эшелон» выдали заключение об успешном прохождении сертификации.

Средства защиты информации, соответствующие 4 уровню доверия, применяются в
значимых объектах критической информационной инфраструктуры 1 категории, в
государственных информационных системах 1 класса защищенности,
автоматизированных системах управления производственными и технологическими
процессами 1 класса защищенности, в информационных системах персональных данных
при необходимости обеспечения 1 уровня защищенности персональных данных, а также в информационных системах общего пользования II класса.
Solar Dozor — российская система для предотвращения утечек конфиденциальной информации. Ее возможности обеспечивают контроль коммуникаций сотрудников, блокировку или изменение нежелательных сообщений, выявление и мониторинг групп риска, а также ретроспективный анализ архива коммуникаций для проведения расследований. Также Solar Dozor может анализировать поведение пользователей (User Behavior Analytics), что позволяет выявлять аномалии поведения, круг общения и приватные контакты сотрудников, а также профилировать их на основе устойчивых паттернов поведения.

Solar Dozor 7.6

25 января 2022 года компания «Ростелеком-Солар» представила обновленную версию системы предотвращения утечек информации Solar Dozor 7.6 Ключевым изменением стала реализованная в Endpoint-агенте для macOS возможность блокировки печати конфиденциальных документов. Кроме того, в Solar Dozor 7.6 появилась функциональность мониторинга поступления трафика из внешних систем по протоколу ICAP при их интеграции с DLP-решением.

По информации компании, начиная с версии 7.6, Solar Dozor позволяет контролировать на компьютерах на базе macOS печать документов, применяя к ним правила политики безопасности. Осуществляется перехват данных, отправляемых на локальные, сетевые и виртуальные принтеры, а также блокирование операции печати. Так, например, можно заблокировать печать документа, содержащего паспортные данные или любой другой вид конфиденциальной информации. На января 2022 года Dozor Endpoint Agent для macOS – единственный на российском рынке endpoint-агент для рабочих станций на базе ОС от Apple, в котором реализована блокировка печати конфиденциальной информации.

Ноутбуки на базе macOS составляют существенную часть компьютерного парка многих российских компаний, в особенности работающих в сфере дизайна, медиа, ритейла и др. При этом контроль рабочих станций под управлением ОС от Apple на отечественном рынке обеспечивают лишь единицы DLP-систем. Теперь наши заказчики-пользователи macOS могут не просто фиксировать факт утечки конфиденциальной информации через печать с MacBook, но и активно предотвращать такие инциденты. подчеркнула Галина Рябова, директор Центра продуктов Dozor компании «Ростелеком-Солар»

Разработчики Solar Dozor 7.6 дополнили продукт функцией отслеживания поступления и обработки ICAP-трафика от различных внешних систем. Это позволяет пользователю DLP-системы, не копаясь в лог-файлах и не анализируя технические заголовки, быстро увидеть, поступает ли ICAP-трафик от той или иной системы, обрабатывается ли он, и делается ли это корректно.

Важной частью решения задачи мониторинга поступления данных от внешних систем стала функция идентификации трафика, которая позволяет определить, от какой именно системы поступают конкретные сообщения. Благодаря этому можно выявить и устранить проблемы с трафиком от внешних систем.

В целом, в обновленной версии Solar Dozor разработчики сделали различные обновления, связанные с контролем рабочих станций сотрудников. Так, стало удобнее контролировать доступ к различным USB-устройствам на рабочих станциях – флеш-накопителям, подключаемым веб-камерам и др. Теперь можно запретить или, наоборот, разрешить использование USB-устройств конкретной модели и производителя. Это оптимизирует время работы с большими массивами USB-устройств по сравнению с необходимостью их настройки по полному списку по всей компании.

Также пользователи Solar Dozor 7.6 могут в скрытом режиме удаленно развертывать агенты мониторинга рабочих станций на macOS через облачную службу управления корпоративной мобильностью (EMM). Это кроссплатформенное решение для управления мобильными устройствами, ПК и установленными на них приложениями используют многие заказчики, что и послужило причиной реализации этой функции. Кроме того, в рамках релиза Solar Dozor 7.6 разработчики добавили поддержку ОС macOS 12 Monterey.

В Solar Dozor 7.6 появилась функция записи звука с микрофона рабочей станции с возможностью ее прослушивания в режиме, приближенном к реальному времени. Сотрудник службы безопасности может начать прослушивать запись через 1-2 минуты после ее запуска. Также можно настроить срок хранения записей для их последующего использования. Эта функциональность помогает специалисту по безопасности осуществлять проверку при возникновении подозрений на нарушение со стороны сотрудника, поэтому она востребована заказчиками для сбора доказательной базы при проведении расследований.

2021

Solar Dozor 7.5

28 сентября 2021 года компания «Ростелеком-Солар» выпустила обновленную версию DLP-системы Solar Dozor 7.5.

Рабочие станции персонала – один из ключевых объектов мониторинга для DLP-систем, поэтому в данной версии мы сделали шаг в развитии нашего endpoint-агента. Теперь в арсенале Solar Dozor – агенты для мониторинга рабочих станций под управлением всех трех операционных систем. Кроме того, вслед за развитием технологий коммуникаций мы планомерно расширяем количество контролируемых каналов, уделяем внимание набирающим популярность мессенджерам, как частным, так и корпоративным. Продолжаем развивать и модуль анализа поведения пользователей Dozor UBA – в обновленной версии дополнили модуль детализированными отчетами. За 2020 год многие наши клиенты накопили достаточный опыт практического применения этого инструмента и делятся с нами идеями по его развитию.

По информации компании, в российских компаниях на рабочих станциях под управлением macOS работает в среднем от 5% до 50% сотрудников в зависимости от специфики деятельности организации. Это и руководство, чьи ноутбуки содержат ключевую финансово-экономическую информацию и стратегию развития бизнеса. И ИТ-специалисты – разработчики, архитекторы, дизайнеры UI/UX, владеющие конфиденциальной технической информацией, базами данных, стратегией развития ИТ-продуктов и услуг компании. И специалисты других направлений – дизайнеры, маркетологи, работающие с договорами, конкурсной документацией, базами данных клиентов, информацией о рыночном развитии продуктов и услуг и т.п. Утечка подобных сведений оборачивается весьма печальными последствиями для бизнеса.

С целью защиты чувствительных данных компаний на рабочих станциях под управлением macOS, в состав обновления DLP-системы Solar Dozor 7.5 вошел модуль Dozor Endpoint Agent for macOS, в дополнение к ранее реализованным Window и Linux-агентам. На сентябрь 2021 года это единственный на российском рынке macOS-агент, контролирующий веб-ресурсы, данные в мессенджерах и локальную почту на компьютерах производства Apple. В частности, система осуществляет перехват данных, передаваемых через каналы HTTPS (поисковые запросы, сообщения в веб-почте, соцсетях), переписки и отправляемых документов в Skype и WhatsApp (desktop и web), а также перехват сообщений и файлов, пересылаемых через почтовые клиенты по протоколам SMTP, POP3, IMAP. Агент можно установить на рабочие станции как с помощью графического инсталлятора, если регламенты компании требуют ручной установки, так и в автоматическом режиме, используя специальные средства развертывания.

В Solar Dozor версии 7.5 появилась возможность контролировать еще один канал обмена информацией – корпоративный мессенджер Cisco Webex Teams. Теперь с помощью функциональности модуля Dozor File Crawler можно настроить систему так, что все сообщения и файлы, отправленные сотрудниками в личных или общих чатах Cisco Webex Teams, будут поступать в Solar Dozor и проходить проверку по условиям политики безопасности организации. При этом доступна история Webex-сообщений, отправленных сотрудниками даже до того, как в компании был установлен Solar Dozor 7.5.

Система сможет проанализировать всю переписку сотрудников, историю изменений Webex-сообщений (исходные, отредактированные и удаленные версии), а также предоставить статистику по сообщениям (количество переданных сообщений и документов за все время или за последние 24 часа).

Анализ поведения пользователей (UBA) – технология, позволяющая выявлять ранние признаки корпоративного мошенничества, зарождение коррупционных схем, предпосылки к возникновению утечек информации и т.п. В обновленной версии Solar Dozor 7.5 появилась возможность получить сведения о поведении сотрудников в виде отчета в формате PDF. Специалисты служб ИБ смогут быстрее выявлять отклонения и опасные тенденции в поведении персонала, а также оперативно предоставлять руководству необходимую отчетность.

Теперь пользователь системы может сформировать отчет, содержащий сведения о поведении сотрудников, относящихся к одному из 20-ти паттернов («работа ночью», «поиск работы», «мертвые души» и т.п.). В отчете отобразятся особые контакты сотрудников, индекс уязвимости, количество событий безопасности и аномалий в поведении. Можно также сформировать отчет и по конкретному сотруднику за период 45 дней. В него войдут как общие сведения о работнике, так и история поведенческих особенностей: динамика индекса уязвимости, внутренней и внешней активности, отправки и получения информационных объектов, все аномалии поведения, список особых контактов – рабочая и приватная эго-сети, неизвестные контакты.

Разработчики Solar Dozor 7.5 уделили много внимания и модулю Dozor Endpoint Agent для Windows. В частности, в данной версии можно настроить контроль печати на принтере и операций с буфером обмена для заданного списка приложений. Такой сфокусированный контроль уменьшает нагрузку на рабочие станции и минимизирует конфликты с ПО, в мониторинге которого нет необходимости.

Кроме того, в Solar Dozor 7.5 можно с помощью модуля Dozor Endpoint Agent заблокировать передачу защищенных паролем или поврежденных архивов. Это позволяет предотвратить утечку конфиденциальных данных в зашифрованных архивах по всем многочисленным каналам, контролируемым агентами на рабочих станциях пользователей. Поддерживаются наиболее распространенные форматы архивов: ZIP (.zip), RAR4, RAR5 (.rar), 7-zip (.7z), ARJ.

Ключевой информацией для принятия решения об установке endpoint-агента на ту или иную конечную точку является ФИО сотрудника с привязкой к рабочей станции . Раньше эту информацию можно было получить в интерфейсе Solar Dozor только после установки полнофункционального endpoint-агента. Начиная с версии 7.5, ФИО сотрудника, вошедшего на рабочую станцию, отображается сразу после установки на нее «легкого» средства развертывания (Updater). Эти сведения позволяют быстро узнать, какие рабочие устройства официально закреплены за конкретным сотрудником, и установить на них агент.

Solar Dozor 7.4

24 июня 2021 года компания «Ростелеком-Солар» сообщила о выпуске обновленной версии программного продукта Solar Dozor 7.4. Релиз посвящен реализации модулей анализа поведения пользователей (Dozor UBA) и мониторинга хранения конфиденциальной информации (Dozor File Crawler) в территориально-распределенной конфигурации – для компаний с разветвленной филиальной сетью.

Естественный процесс монополизации и укрупнения бизнеса с 2020 года ускорился под влиянием пандемии: для многих компаний вхождение в состав более крупного и устойчивого к кризисным явлениям игрока стало хорошей бизнес-стратегией. Для холдингов же выгодные с точки зрения повышения эффективности бизнеса M&A сделки сопровождаются рисками безопасности, связанными с вливанием в компанию структуры с другими бизнес-процессами, с другой корпоративной культурой, со сложностями интеграции сотрудников. Для групп компаний и организаций с присоединенными структурами на первый план выходит необходимость централизованного контролируемого решения задач безопасности в разнородной иерархической территориально-распределенной структуре. Для таких организаций всегда актуальны 3 группы задач: контроль безопасности в целом (сквозные аналитические инструменты мониторинга и проведения расследований), централизация экспертных функций (например, экспертной аналитики или администрирования системы), контроль подразделений безопасности со стороны центра. Именно поэтому в данном релизе мы уделили внимание реализации работы ключевых аналитических модулей системы в мультифилиальном режиме. отметила Галина Рябова, директор центра продуктов Dozor компании «Ростелеком-Солар»

По информации компании, практика использования крупными российскими компаниями модуля анализа поведения пользователей Dozor UBA, выпущенного «Ростелеком-Солар» в конце 2019 года, показала: наиболее эффективно применять результаты анализа можно при установке модуля отдельно в каждом территориальном подразделении. В предыдущих версиях Solar Dozor UBA-модуль устанавливался на общие ресурсы и предоставлял лишь усредненную обобщенную информацию поведения пользователей по компании в целом.

В обновленной версии, с одной стороны, все установки модуля Dozor UBA в каждом филиале объединены в связанную систему, что позволяет получить полный срез данных о поведении пользователей по всей организации. С другой стороны, через единый веб-интерфейс Solar Dozor можно выбрать любое территориальное подразделение и перейти к сводной статистике и детализации не только по конкретному филиалу, но и по любому его пользователю. Сводная статистика по филиалу учитывает наиболее значимые факторы риска: опасные и подозрительные тенденции в территориальном подразделении, наличие персон с серьезными отклонениями в поведении и их прирост за неделю. Также доступна информация о характерных для персонала данного филиала паттернах поведения, аномалиях поведения, особых контактах сотрудников, их суточной активности и т.п.

Для каждого филиала появилась возможность установить часовой пояс, что позволяет обеспечить точность анализа суточной активности его сотрудников (утро, день, вечер, ночь), расчета паттернов поведения «Работа ночью» и «Работа в выходные дни». При работе с паттернами поведения пользователей можно переключаться между территориальными подразделениями, анализируя различия в паттернах от филиала к филиалу.

В Solar Dozor 7.4. нашла отражение и практика применения мультифилиальными компаниями модуля мониторинга хранения данных Dozor File Crawler. В предшествующих версиях отсутствовало соотнесение узлов распределенной сети, для проверки которых использовался модуль, с филиалами, в которых находятся эти узлы. В таком режиме было сложно управлять задачами модуля и использовать карту сети. Для запуска задачи нужно было указать конкретный узел, а данные об инспектировании всех узлов сети образовывали одну огромную карту, в которой было сложно ориентироваться.

Теперь каждая задача сканирования сети в момент её создания автоматически привязывается к соответствующему территориальному подразделению, и все дальнейшие настройки задачи, выбор элементов карты сети производятся в привязке к конкретному филиалу. Ресурсы каждого территориального подразделения отображаются в отдельной ветке в зависимости от инсталляции Dozor File Crawler, с помощью которой было выполнено сканирование. Также при предоставлении работающим с системой специалистам прав доступа к данным филиала осуществляется разграничение доступа к задачам сканирования и веткам карты сети. Все эти изменения помогут ИБ-специалистам крупных организаций сэкономить время на управлении модулем мониторинга хранения конфиденциальной информации и эффективнее использовать результаты аудита сети.

Кроме того, в данной версии появился ряд дополнительных механизмов защиты конфиденциальных данных от утечек. В частности, Solar Dozor 7.4 позволяет транслировать видео с экрана рабочей станции сотрудника в режиме реального времени. Данный инструмент востребован заказчиками для сбора доказательной базы при проведении расследований.

Также система осуществляет считывание структуры каталогов съемных носителей информации (флеш-накопителей, карт памяти и внешних жестких дисков), подключаемых через USB-порт к рабочим станциям сотрудников компании. Это дает офицерам безопасности возможность просматривать содержимое съемных устройств – структуру папок и название файлов – для выявления попыток копирования конфиденциальных документов.

В крупных компаниях рутинная работа по сбору данных о событиях и инцидентах безопасности делегируется младшим специалистам службы ИБ. В более ранних версиях DLP-системы Solar Dozor руководитель мог лишь поделиться с подчиненным копией поискового запроса. Начиная с версии 7.4, офицер безопасности может предоставлять младшим ИБ-специалистам доступ на выполнение созданных им поисковых запросов: исполнитель сможет выполнять запросы, просматривать их параметры и результат выполнения без возможности внести изменения в запрос. Гибкая настройка доступа к данным системы для сотрудников младшего звена позволит снизить риск утечки ценных сведений.

Для оптимизации удобства использования DLP-системы в обновленной версии разработан механизм оперативного отключения агентского модуля. При конфликтах со сторонним ПО можно временно деактивировать агент нажатием одной кнопки, не удаляя его с рабочей станции. При этом все настройки сохраняются и при обратной активации агента нет необходимости снова его настраивать.

Включение в ГИСП

Министерство промышленности и торговли РФ на базе Государственной информационной системы промышленности (ГИСП) составило перечень решений, которые рекомендованы к применению органам власти и коммерческим предприятиям России для организации процессов удаленной работы. В категории «Информационная безопасность» в него вошли такие продукты «Ростелеком-Солар», как система предотвращения утечек информации Solar Dozor, система автоматизированного управления правами доступа Solar inRights, шлюз веб-безопасности Solar webProxy. Об этом разработчик сообщил 9 февраля 2021 года.

Соответствие продуктов «Ростелеком-Солар» требованиям, предъявляемым к обеспечению безопасного процесса удаленной работы, подтвердил Проектный комитет ГИСП. В его состав вошли ведущие эксперты АНО «Цифровая экономика», Фонда развития интернет-инициатив, Ассоциации разработчиков программных продуктов «Отечественный софт» и Ассоциации участников рынка интернета вещей.

Инициатива реализована в рамках государственной программы «Развития промышленности и повышения ее конкурентоспособности», целью которой является создание в России конкурентоспособной, устойчивой, структурно сбалансированной промышленности, — отмечает Михаил Адоньев, директор по стратегическим проектам компании «Ростелеком-Солар». — Наряду с другими направлениями стимулирования промышленного развития Минпромторг России оказывает активную информационную поддержку предприятий на портале ГИСП. Созданный реестр решений для организации удаленной работы облегчит компаниям выбор продуктов для поддержания непрерывности бизнес-процессов в условиях удаленной работы.

Представленные в реестре решения «Ростелеком-Солар» обеспечивают информационную безопасность удаленного управления процессами с помощью инструментов дистанционного мониторинга, что позволяет сократить риски физического присутствия на объектах. Например, DLP-система Solar Dozor предназначена для защиты информационных активов и позволяет блокировать утечки информации, осуществлять контроль каналов коммуникаций сотрудников и выявлять признаки корпоративного мошенничества. Другое решение «Ростелеком-Солар» — Solar inRights — помогает выстроить на предприятии процедуры исполнения политик и регламентов безопасности в области управления правами доступа. Для контроля доступа сотрудников и приложений к веб-страницам, защиты веб-трафика от вредоносных программ и навязчивой рекламы Минпромторг рекомендует шлюз веб-безопасности Solar webProxy.

2020

Solar Dozor 7.3

3 декабря 2020 года компания «Ростелеком-Солар» сообщила, что обновила свою флагманскую DLP-систему Solar Dozor до версии 7.3. В обновлении представлена технология глубокого обучения на основе нейронных сетей Faster RCNN. Она позволяет контролировать передачу критичных данных в графических форматах – изображениях, сканированных копиях, фотографиях и т.п. Кроме того, важным шагом стала реализация в Solar Dozor 7.3 контроля переписки сотрудников в desktop-версии мессенджера Telegram.

По информации компании, наиболее значимым изменением в Solar Dozor 7.3 стало появление инструмента политики безопасности «Графический шаблон», который контролирует передачу критичных данных в графических форматах. С помощью этого инструмента DLP-система распознает в изображениях такие объекты, как паспортные данные граждан РФ, печати организаций, лицевую и оборотную стороны платежных карт.

Для распознавания графических объектов в решении используется специализированная технология глубокого обучения на основе нейронных сетей Faster RCNN (region-based convolutional neural networks). Скорость работы технологии практически не зависит от размера изображения. Объекты распознаются с учетом различных деформаций – растяжения, поворота, наложения на другие объекты, а также при полном отсутствии текстовой составляющей. Возможности Faster RCNN по эффективности распознавания конфиденциальных данных в графических объектах значительно превосходят традиционно применяемые в DLP-системах технологии OCR, детектирования печатей и прочие.

Утечки конфиденциальных данных в различных графических форматах – сканах документов, изображениях и т.п. – весьма распространенное явление. В графическом виде часто утекают паспортные данные граждан, данные банковских карт, имеющие на ноябрь 2020 года ликвидность на черном рынке. В то же время используемые во многих DLP-системах классические инструменты выявления конфиденциальной информации в «графике», вроде технологий OCR, детекторов печатей, паспортов и тому подобных, до сих пор решали эту задачу с переменным успехом. Их эффективность сильно зависит от качества анализируемого изображения и серьезно снижается, если пересылается искаженный объект – растянутый, искривленный, в низком разрешении и т.п. Впервые примененная нами технология глубокого обучения на основе нейронных сетей Faster RCNN способна выявить попытки слива критичных данных даже в сильно деформированных объектах. отметила Галина Рябова, директор Центра продуктов Solar Dozor компании «Ростелеком-Солар»

Версия Solar Dozor 7.3 сделала большой шаг вперед и в направлении расширения списка контролируемых каналов передачи данных. Теперь с помощью модуля Dozor Endpoint Agent, установленного на рабочих станциях корпоративной сети, можно контролировать переписку сотрудников в desktop-версии мессенджера Telegram и отправку файлов в облачные хранилища с помощью desktop-приложений Яндекс.Диск и Google Drive. Кроме того, в данной версии появились механизмы, которые позволяют распознавать в сообщениях и именах файлов текст, написанный транслитом и (или) содержащий опечатки, и преобразовывать его в корректный текст. Таким образом специалисты по безопасности смогут контролировать передачу текста, который намеренно или случайно был искажен с помощью транслита и (или) опечаток.

Ряд важных изменений был сделан и в одном из ключевых модулей системы – Dozor UBA. Модуль анализа поведения пользователей в версии 7.3 расширил свою функциональность, позволяющую минимизировать риск утечки данных при увольнении сотрудников. Для этого в интерфейсе системы в разделе «Анализ поведения» появился виджет «Признаки увольнения». Кликнув на виджет, офицер безопасности мгновенно получает список сотрудников, в поведении которых присутствуют признаки подготовки к увольнению.

Критерии, по которым система выявляет работников, готовящихся к увольнению, были сформированы в результате практических исследований и наблюдений за поведением уходящих из компаний сотрудников. К таким критериям относится постепенное падение внешней и внутренней активности, оптимизация или сокращение сотрудником рабочего графика, появление уникальных контактов в коммуникациях, передача нехарактерных для сотрудника информационных активов и ряд других.

Также в Dozor UBA добавлены классы аномалий поведения «Новый неизвестный контакт» и «Новый информационный объект», используемые в том числе и при выявлении увольняющихся сотрудников. Например, эти аномалии будут зафиксированы в поведении сотрудника, который вдруг начал собирать не имеющие отношения к его работе документы компании и пересылать их на неизвестную системе электронную почту. Такое поведение встречается среди сотрудников, принявших решение уйти из компании и решивших повысить свою привлекательность на рынке труда за счет бывшего работодателя.

Для повышения удобства использования системы в Solar Dozor 7.3 был полностью переработан и дополнен критериями фильтр результатов быстрого поиска. Теперь он доступен по нажатию кнопки в отдельном окне, где критерии фильтрации сгруппированы так, чтобы офицер безопасности мог применить к конкретной поисковой выборке критерии из одной или сразу из нескольких групп.

Фильтр помогает быстро находить нужные данные в уже сформированной поисковой выборке, что сэкономит время на обнаружение утечек и расследование инцидентов.

Кроме того, модуль Dozor Endpoint Agent в обновленной версии DLP-системы собирает диагностическую информацию с рабочих станций корпоративной сети, что позволяет сократить время на разбор и устранение проблем и сбоев в работе агента на конечных точках.

Dozor Endpoint Agent Linux 2.6

Компания «Ростелеком-Солар», 24 сентября 2020 года сообщила о выходе очередной версии модуля контроля рабочих станций Dozor Endpoint Agent Linux 2.6. Данный агент для Linux обладает аналогичным Windows-версии набором возможностей, а также является многофункциональным endpoint-решением на базе ОС Linux на российском рынке.

Согласно приказу Минкомсвязи России №96 от 01.04.2015 «Об утверждении плана импортозамещения программного обеспечения», к 2025 году доля отечественных операционных систем (ОС) в государственных организациях должна составить не менее 50%. Существующие и создаваемые в России ОС реализованы на базе свободно распространяемых дистрибутивов GNU/Linux, которые большинство рыночных систем предотвращения утечек информации (DLP) поддерживают лишь ограниченным набором возможностей. Выход Dozor Endpoint Agent Linux 2.6 призван восполнить функциональные пробелы доступных отечественным заказчикам Linux-версий систем мониторинга рабочих станций пользователей.

Данная версия агента контролирует печать документов на принтере, их копирование в буфер обмена, сохранение данных на USB-устройства, нажатие клавиш на клавиатуре, а также активность пользователей и отдельных приложений на рабочей станции. При необходимости модуль может работать в режиме активного противодействия: запрещать копирование файлов на съемные носители и сетевые диски, блокировать буфер обмена, отправку информации через браузеры, в том числе в облачные хранилища. Кроме того, Dozor Endpoint Agent Linux 2.6 позволяет мониторить действия сотрудника, делая снимки рабочего стола при нажатии пользователем определенных клавиш или через заданные промежутки времени.

Dozor Endpoint Agent Linux 2.6 поддерживает следующий список Linux-платформ:

• Astra Linux SE 1.5 и 1.6 «Смоленск»
• Astra Linux CE 2.12 «Орёл»
• CentOS 7
• Ubuntu 18.04 LTS
• Ред ОС 7.2 «Муром»
• Гослинукс ИК6

Совместимость с платформами Astra Linux и Ред ОС подтверждена соответствующими сертификатами.

Следует отметить, что версию Linux-агента 2.6 можно также использовать и для контроля работы пользователей на терминальных серверах под управлением ОС Циркон 36СТ.

Мы считаем поддержку отечественных операционных систем на базе Linux значимой составляющей технологического развития программных продуктов семейства Solar Dozor. Российский рынок информационной безопасности ведет системную работу по обеспечению готовности государственных компаний к импортозамещению. «Ростелеком-Солар» со своей стороны стремится помочь компаниям госсектора максимально легко перейти на российские разработки, обеспечив совместимость своих технологий с Linux-системами. Выпуск полнофункционального Linux-агента является существенным шагом в этом направлении, – отметила Галина Рябова, директор Центра продуктов Solar Dozor компании «Ростелеком-Солар».

Solar Dozor 7.2

28 мая 2020 года компания «Ростелеком-Солар» сообщила о выпуске обновленной версии DLP-системы Solar Dozor 7.2. Функциональность решения была расширена за счет модуля MultiDozor, который позволяет связывать все филиальные инсталляции Solar Dozor в единую систему с управлением из центра. MultiDozor ориентирован, в первую очередь, на крупный территориально распределенный бизнес и на органы государственной власти с их разветвленной структурой. С его помощью эти организации смогут быстрее и результативнее решать задачи внутренней безопасности.

В «Ростелеком-Солар» считают, что одной из основных проблем внутренней безопасности крупных предприятий с территориально-распределенной сетью подразделений является отсутствие видения общей ситуации и контроля безопасности в компании в целом. Все филиалы по сути являются единой организацией с едиными стандартами и политиками безопасности, однако DLP-система устанавливается отдельно в каждом из подразделений и, соответственно, осуществляет мониторинг по каждому филиалу в отдельности.

Со слов разработчика, модуль MultiDozor позволяет в режиме реального времени анализировать и обрабатывать данные о событиях внутренней безопасности как по компании в целом, так и по каждому из подразделений. В результате сотрудники службы ИБ головного офиса могут проводить сквозные расследования инцидентов в масштабе всей компании вне зависимости от степени децентрализации ИТ-инфраструктуры и пропускной способности каналов предприятия. Модуль предоставляет возможность вести централизованный мониторинг групп особого контроля с помощью единого досье с сотрудниками всех территориальных подразделений. В целом, в MultiDozor доступен такой же набор аналитических срезов данных, что и в филиальных инсталляциях Solar Dozor. А возможность создания единой для всей компании политики с настройкой изменений под каждый филиал отличает представленное решение от других DLP-систем.

Гибкая настройка прав в модуле позволяет сохранить за представителями ИБ-служб на местах такие базовые функции, как, например, начальный уровень разбора событий безопасности, техническое обслуживание системы и т.п. Для решения более высокоуровневых задач – глубокого расследования инцидентов и проч. – возможно привлечение экспертов, территориально располагающихся в центральном офисе. Данная функциональность направлена на решение проблемы нехватки кадров и недостаточного уровня компетенций в ИТ и ИБ-подразделениях филиалов, подчеркнули в «Ростелеком-Солар».

«Для нас реализация этого модуля представляла собой определенный технологический вызов. Позиции DLP-системы Solar Dozor традиционно сильны в сегменте крупных предприятий, где выдвигаются высокие требования к отказоустойчивости систем. Обеспечить же бесперебойную работу территориально распределенной системы по всей стране с учетом возможной нестабильности каналов связи на местах, сохранив весь набор ее функциональности, – это серьезная задача»,

В обновленной версии Solar Dozor 7.2 также получила развитие функциональности модуля анализа поведения пользователей Dozor UBA. Внесённые изменения являются естественным результатом практического применения модуля в компаниях разного масштаба и направлены на повышение удобства работы ИБ-специалистов с системой. В частности, при просмотре диаграмм динамики внутренней и внешней активности сотрудника можно перейти к связанным с ними сообщениям. Это позволяет оперативно выявить аномалии и инциденты безопасности и начать расследование. Стало проще получать из диаграмм данные о динамике активности сотрудника по отдельным интересующим ИБ-специалиста срезам. Так, на основе полученной от заказчиков обратной связи был переработан интерфейс вкладок «Активность» и «Популярность». Данные стали отображаться компактнее – для оценки поведения сотрудника нужна минимальная прокрутка содержимого окна, что ускоряет визуальный анализ, утверждают в «Ростелеком-Солар».

На диаграммах внутренней, внешней активности и популярности сотрудника появилась возможность двигать период, за который отображаются данные. Это позволяет в динамике оценить изменение поведения человека, выявить нарастающие негативные тенденции. Диаграммы были дополнены визуальными элементами, ускоряющими обнаружение значимых аномалий в поведении. А появившаяся возможность применять к диаграммам фильтры позволяет ИБ-специалисту сфокусироваться на интересующем его контенте в переписке сотрудника. В целом, благодаря доработанному интерфейсу вкладок в модуле Dozor UBA, пользователю доступен для просмотра большой объем данных на одном экране.

Совместимость с Ред ОС

13 января 2019 года компания RedSoft сообщила, что система предотвращения утечек конфиденциальной информации Solar Dozor успешно прошла тестирование на совместимость с российской операционной системой семейства Linux РЕД ОС. По итогам проведенных работ «Ростелеком-Солар» и РЕД СОФТ подписали двусторонний сертификат совместимости.

Мы рассматриваем технологическое сотрудничество с разработчиками ПО как одну из основ успешного развития бизнеса в сфере ИТ. На российском рынке информационной безопасности ведется системная работа по обеспечению готовности государственных компаний к импортозамещению. «Ростелеком-Солар» со своей стороны стремится помочь данным компаниям в части более легкого и беспроблемного перехода на российские разработки, обеспечив максимальную совместимость своих технологий с отечественными системами других классов. Совместимость нашего флагманского продукта Solar Dozor с отечественной РЕД ОС – один из существенных шагов в данном направлении,

Использование системы Solar Dozor в среде операционной системы РЕД ОС позволит клиенту обеспечить высокий уровень информационной безопасности своих процессов. Совместно с партнерами рады предоставить еще одно импортонезависимое решение, прокомментировал Рустамов Рустам, заместитель генерального директора РЕД СОФТ

2019

Solar Dozor 7

8 октября 2019 года компания «Ростелеком-Солар» объявила о выходе на рынок DLP-системы Solar Dozor 7 с интегрированным модулем продвинутого анализа поведения пользователей Solar Dozor UBA. Система решает широкий круг задач безопасности, выходящих за рамки защиты от утечек, и позволяет с помощью автоматизированного анализа выявлять ранние признаки нарушений со стороны сотрудников компании.

По информации компании, Solar Dozor 7 – система защиты от утечек следующего поколения, основанная на передовой концепции People-Centric Security. Эта концепция подразумевает переход службы информационной безопасности от мониторинга сотен и тысяч уведомлений об инцидентах с данными к анализу поведения сотрудников и выявлению отклонений в поведении.

В состав Solar Dozor 7 вошел модуль глубокого анализа поведения пользователей (UBA – User Behavior Analysis). Модуль позволяет автоматически выявлять в поведении сотрудников компании аномалии, которые могут свидетельствовать о ранних признаках корпоративного мошенничества, зарождении коррупционных схем, предпосылках к возникновению утечек информации и т.п. Это дает возможность службам безопасности работать с рисками превентивно, используя автоматизированные инструменты анализа.

На октябрь 2019 года мы четко видим два тренда в развитии DLP-систем. С одной стороны, возможности систем защиты от утечек вышли за рамки задач, лежащих исключительно в сфере информационной безопасности. Они становятся эффективным инструментом снижения рисков в сфере экономической, собственной, кадровой безопасности компаний. С другой стороны, и сама информационная безопасность расширяет свой взгляд на мир, переходит от анализа событий и данных к стратегии безопасности с фокусом на человеке. рассказала Галина Рябова, директор центра развития продуктов Solar Dozor «Ростелеком-Солар»

Методы анализа модуля Solar Dozor UBA основаны наалгоритмах класса unsupervised machine learning (обучение без учителя), не требующих предварительной настройки и адаптации системы под условия эксплуатации. Система анализирует поведение сотрудников по двум направлениям одновременно. С одной стороны, осуществляется наблюдение за каждым сотрудником по набору показателей, которые измеряются с высокой частотой и с учетом персональных особенностей поведения, делового контекста, роли в коллективе и ряда других факторов. Накопленной в течение 2-х месяцев истории активности пользователя достаточно для того, чтобы определить его устойчивое поведение и начать детектировать аномалии его поведения. Такие цифры получены в ходе апробации технологии Solar Dozor UBA на ряде компаний масштабом от 1000 сотрудников.

С другой стороны, модуль Solar Dozor UBA определяет наиболее уязвимые с точки зрения бизнеса группы сотрудников и сотрудников с подозрительным поведением, относя их к различным паттернам поведения (комбинациям поведенческих особенностей и аномалий). На октябрь 2019 года в системе насчитывается порядка 20-ти паттернов, среди которых: «мертвые души», сотрудники с аномалиями внешних коммуникаций, с наличием теневых личных контактов (т.н. приватных эго-сетей) и др. По каждому из паттернов ведется постоянный контроль опасных тенденций, приближенный к реальному времени.

Собираемая с помощью UBA-модуля информация существенно обогатила модуль Досье DLP-системы Solar Dozor 7. Теперь он сосредотачивает в себе максимально полную информацию о персоне (сотруднике, группе сотрудников и других участниках коммуникаций) и вместе с быстрым сквозным поиском и настроенными срезами данных является оптимальной средой для проведения расследований, не имеющей аналогов в других DLP-системах. Здесь же стало доступным и профилирование персонала по показателям использования рабочего времени.

Solar Dozor 6.8

28 мая 2019 года компания Ростелеком-Solar сообщила, что выпустила обновленную версию DLP-системы Solar Dozor. Ее ключевыми усовершенствованиями стали полностью обновленный агент для контроля рабочих станций, контроль коммуникаций в Viber, защита конфиденциальной конструкторской документации и поддержка ICAP-трафика от различных прокси-серверов.

По информации компании, при создании данной версии Solar Dozor в фокусе внимания разработчиков находилась задача по доработке модуля Dozor Endpoint Agent, предназначенного для контроля активности сотрудников на рабочих станциях. В частности, был серьезно улучшен механизм перехвата по протоколам HTTP/HTTPS, SMTP, POP3 и IMAP, повышена стабильность и скорость работы модуля. Список контролируемых каналов коммуникаций пополнился мессенджером Viber.

Кроме того, с целью освоения технологий виртуализации, на май 2019 года широко используемых в современной IT-инфраструктуре, в Dozor Endpoint Agent реализована поддержка «золотого образа» Citrix VDI, позволяющая устанавливать агент на виртуальные машины вместе с пакетом стандартного офисного ПО (Microsoft Office, 1С и т.д.).

В стратегии развития DLP-системы Solar Dozor нашими приоритетами являются не только наращивание количества функций, но и глубина их проработки.

Важным шагом вперед стала реализация обработки ICAP-трафика от различных прокси-серверов в режиме реального времени. К данным, переданным по протоколу ICAP, могут быть применены те же правила, что и к сообщениям по другим каналам. В частности, в политике появилось специальное действие «Заблокировать ICAP», которое позволяет запретить как отправку данных на веб-ресурсы, так и скачивание с них. Кроме того, получила более глубокое развитие интеграция Solar Dozor с модулем контроля веб-трафика Dozor Web Proxy. Теперь офицер безопасности может вести единое досье на сотрудника, группу сотрудников или контрагента: все изменения, сделанные в Dozor Web Proxy, будут отражены в Solar Dozor, и наоборот.

Версия Solar Dozor 6.8 обладает специализированной возможностью автоматически определять файлы инженерных пакетов CAD-систем и извлекать из них текстовую информацию (данные чертежей, схем, спецификаций, моделей и т.п.). Поддерживаются форматы DWG, STL, STEP, ADEM CAD, M3D и др.

Значительное развитие в данной версии получила интеграция с Microsoft Active Directory (AD). Теперь офицер безопасности может получить доступ в систему без использования логина и пароля — применяются данные, введенные при входе в ОС. Для аутентификации используется протокол Kerberos.

Чтобы было проще визуально отличить друг от друга импортированные из AD данные персон, в обновленной версии появились индикаторы Organizational Unit и Security group, помогающие при поиске объектов системы, настройке политики и других ситуациях, когда требуется знать тип группы, в которой состоит персона. Кроме того, теперь возможна загрузка данных о персоне из нескольких AD, что важно, например, для компаний, находящихся в процессе слияния или поглощения другими организациями. При этом исключается дублирование учетных записей — дубликаты автоматически объединяются в одну карточку.

С целью повышения скорости реагирования на инциденты в Solar Dozor 6.8 были доработаны возможности поиска. Так, событие или инцидент теперь можно найти по его номеру (идентификатору). Кроме того, в Solar Dozor существуют два режима поиска объектов – быстрый и расширенный. Однако в некоторых случаях может понадобиться быстрый поиск по тексту сообщения с возможностью выбора сложных атрибутов, как в расширенном. В данной версии такая возможность появилась, что позволит точнее и быстрее находить нужную информацию.

Также улучшен контроль действий пользователей: теперь в журнале действий пользователей отображается максимально детализированная информация, в том числе IP-адреса устройств, действия с объектами политики, ролями пользователей и системными справочниками.

Модуль Solar Dozor Web Proxy 3.0

12 февраля 2019 года компания «Ростелеком-Solar» объявила о выходе очередной версии модуля DLP-системы Solar Dozor для контроля веб-трафика — Dozor Web Proxy 3.0. Все изменения, начиная с обновленного графического интерфейса и заканчивая автоматической синхронизацией досье сотрудника в модуле Dozor Web Proxy и DLP-системе Solar Dozor, со слов разработчика, призваны упростить и ускорить работу ИБ-специалистов. Согласно заявлению компании, выход Dozor Web Proxy 3.0. является первым шагом на пути к выделению модуля в самостоятельное продуктовое направление «Ростелеком-Solar».

В Dozor Web Proxy 3.0 представлен обновленный интерфейс управления правилами политики безопасности, логика работы с которыми была полностью изменена. В представленной версии правила политики безопасности группируются в слои (наборы правил), каждый из которых выполняет определенные задачи: исключения аутентификации, вскрытие HTTPS, перенаправление по ICAP, а также фильтрацию запросов и ответов. Слои отображаются в интерфейсе в том порядке, в котором Dozor Web Proxy 3.0 обрабатывает правила политики. Такой подход позволяет офицеру безопасности удобнее и быстрее настраивать правила, утверждает разработчик.

Как отметили в «Ростелеком-Solar», работать с политиками безопасности стало проще благодаря изменению визуального представления правил с древовидного на табличное. Кроме того, элементы политики безопасности, которые используются для формирования правил, сгруппированы в соответствии с частотой их использования при настройке.

«При разработке Dozor Web Proxy 3.0. мы в первую очередь ориентировались на повышение скорости и удобства работы ИБ-специалистов с системой. Для нас эргономика решения не менее важна, чем его функциональность. Упрощение взаимодействия офицеров безопасности со всеми модулями Solar Dozor является частью единой стратегии развития нашего DLP-решения».

Dozor Web Proxy 3.0 автоматически синхронизирует досье сотрудника, ключевой аналитический элемент, с DLP-системой Solar Dozor, что обеспечивает постоянную полноту информации по конкретной персоне вне зависимости от используемого инструмента, подчеркнули в «Ростелеком-Solar».

Со слов разработчика, заметные изменения затронули и реализованный в предыдущих версиях механизм конфигурирования веб-прокси. Эргономичный интерфейс управления настройками конфигурации позволяет осуществлять быстрый поиск параметров фильтрации трафика и доступа пользователей и приложений в соответствии с основными задачами администратора системы.

В Dozor Web Proxy 3.0 реализована функциональность, позволяющая более гибко управлять настройками аутентификации для доступа приложений в Интернет. В представленной версии можно настроить исключения для приложений, которые не поддерживают функцию аутентификации, например, для служб обновления ПО, банковских и тому подобных приложений. Также некоторым хостам необходим доступ в Интернет без аутентификации — например, серверам, оснащенным антивирусной защитой. Исключения аутентификации можно задавать как в прозрачном, так и непрозрачном режимах работы прокси, отметили в «Ростелеком-Solar».

По информации на февраль 2019 года Dozor Web Proxy внесен в Единый реестр отечественного ПО (№ 2874) и может использоваться для замещения зарубежных аналогов. Ведется подготовка к сертификации решения во ФСТЭК России.

2018

Solar Dozor 6.7

23 ноября 2018 года компания Ростелеком-Solar выпустила очередную версию своего DLP-системы Solar Dozor. По информации компании, в версии 6.7 реализован функционал, который усилит противодействие нарушениям правил хранения конфиденциальной информации в корпоративной среде и защиту от ввода пользователями критичных корпоративных данных в различные приложения.

Ключевым в Solar Dozor 6.7 стала возможность активного противодействия нарушениям правил хранения конфиденциальной информации в корпоративной среде с помощью модуля File Crawler. Теперь офицер информационной безопасности может настроить работу File Crawler таким образом, чтобы найденные в результате сканирования файлы, нарушающие политику ИБ, автоматически помещались в безопасное хранилище (карантинный каталог).

Эта функция на ноябрь 2018 года является уникальной для отечественного рынка. Она позволяет предотвратить утечку конфиденциальной информации, не дожидаясь, пока офицер безопасности заметит нарушение и предпримет необходимые меры для его устранения. Галина Рябова, руководитель отдела развития продуктов Solar Dozor

Кроме того, в очередной версии реализована возможность перехвата ввода данных в различные приложения с устройств ввода. Дело в том, что многие приложения шифруют проходящие через них данные. Чтобы офицер ИБ мог проконтролировать, что именно вводят пользователи корпоративных информационных систем в различные приложения, в данной версии реализована функциональность, позволяющая перехватывать эти данные до того, как они попадают в приложения. В частности, Solar Dozor 6.7 осуществляет перехват данных, стертых клавишей Backspace, нажатий клавиши PrintScreen (контроль снимков с экрана), различных комбинаций клавиш, обрабатываемых приложениями, логинов и паролей, вводимых пользователями и т. п. При этом офицер безопасности может настроить перехват только той информации, которая является особо критичной для организации.

На ноябрь 2018 года система также позволяет увидеть события, происходившие на рабочей станции (терминале/удаленном рабочем столе) за несколько минут до и после ввода данных в приложение. Для этого непосредственно в журнале для каждой записи реализован поиск ближайших по времени снимков экрана.

В помощь офицеру ИБ для организации более удобного анализа сетевого трафика в Solar Dozor 6.7 добавлена возможность фильтрации однотипных сообщений, содержащих совпадающие заголовки, действия пользователей и типы таких действий, а также дату и время действий. Функция призвана снизить перехват неинформативного трафика.

Кроме того, реализована привязка файлов к сообщениям при перехватах на почтовых ресурсах в заданных по умолчанию режимах работы ICAP/ICAPS-серверов. Перехваты файлов происходят не сразу после загрузки, а в зависимости от ресурса привязываются к перехватам отправки сообщения и/или сохранения черновика. Вложения выгружаются по таймауту, если в течение данного времени пользователь так и не отправил сообщение.

Интеграция с СЭД CompanyMedia

16 августа 2018 года стало известно, что Ростелеком-Solar и компания ИНТЕРТРАСТ завершили интеграцию своих продуктов: СЭД CompanyMedia, DLP-системы Solar Dozor и IGA-платформы Solar inRights. Совместное их использование позволит заказчикам разграничивать права доступа сотрудников в системе электронного документооборота и защититься от утечки. Подробнее здесь.

Интеграция с межсетевыми экранами FortiGate

Решение для защиты от утечек данных Solar Dozor от Solar Security и межсетевые экраны следующего поколения FortiGate next-generation firewall virtual appliances компании Fortinet протестированы на совместимость. Об этом 7 мая 2018 года сообщили в компании Solar Security.

DLP-решение контролирует деятельность и коммуникации сотрудников на рабочих станциях, в корпоративной сети и интернете. Технически эта функциональность обеспечивается за счет модулей, которые разворачиваются в инфраструктуре заказчика в ходе проекта внедрения и контролируют различные типы трафика.

Решения FortiGate next-generation firewall virtual appliances осуществляют мониторинг трафика с целью блокирования доступа к зараженным сайтам и использования опасных приложений, а также предотвращения вирусных заражений и обеспечения проактивной защиты от вторжений. При интеграции с Solar Dozor по ICAP весь веб-трафик, проходящий через FortiGate next-generation firewall virtual appliances, попадает для анализа в DLP-систему.

После этого Solar Dozor формирует схемы коммуникаций сотрудников, профилирует их поведение и детектирует аномалии, чтобы с высокой точностью выявлять и предотвращать утечки информации, пояснили в Solar Security.

Интеграция с решениями Fortinet сделает процесс внедрения Solar Dozor проще и быстрее, так как позволит не разворачивать дополнительные инструменты для сбора и расшифровки веб-трафика, а использовать решение, которое в большинстве случаев уже установлено у заказчика. Таким образом, мы будем встраиваться в уже имеющуюся инфраструктуру без необходимости закупки модуля web-proxy у нас или других производителей подобных систем, — рассказал Василий Лукиных, менеджер по развитию бизнеса Solar Dozor компании Solar Security.

Solar Dozor 6.6

Компания Solar Security, разработчик продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, 11 апреля 2018 года представила Solar Dozor 6.6, очередную версию системы контроля коммуникаций сотрудников, выявления ранних признаков корпоративного мошенничества и проведения расследований. Solar Dozor 6.6 контролирует действия привилегированных пользователей и защищает конфиденциальные данные в облаке.

Разработчики встроили в версию 6.6 облачный краулер. Это специализированный инструмент, позволяющий офицеру безопасности сканировать облачные хранилища, которые используют сотрудники.

В корпоративном сегменте широкое распространение получил Microsoft Office 365, поэтому в первую очередь мы реализовали именно аудит OneDrive — в отношении как корпоративных, так и публичных облачных хранилищ. В будущем мы планируем масштабировать эту технологию и на другие облачные сервисы. Офицер безопасности должен иметь возможность контролировать информацию вне зависимости от того, где она хранится, — рассказал Василий Лукиных, менеджер по развитию бизнеса Solar Dozor компании Solar Security.

Кроме того, по словам разработчиков, в представленной версии возможности Solar Dozor были существенно расширены за счет функций собственной безопасности DLP-системы. Solar Dozor 6.6 предлагает бизнесу инструменты, позволяющие «контролировать контролёров» — это управление правами доступа и аудит действий пользователей DLP-системы.

Гибкая система управления правами доступа пользователей позволяет легко управлять учетными записями и ролями пользователей. Решение поддерживает гранулированное управление доступом, разграничивающее права на отдельные разделы интерфейса, объекты и функции системы.

Журнал действий пользователей Solar Dozor 6.6 содержит детализированные записи о том, кто, когда и что делал в системе. С его помощью можно контролировать действия как конкретных ИБ-специалистов, так и всех пользователей DLP-системы. Если кто-либо попытается совершить недопустимые действия в системе, заинтересованным лицам немедленно будет отправлено уведомление об инциденте.

Как и каждое обновление Solar Dozor, версия 6.6 включает усовершенствования интерфейса. В данном случае речь идет о справочной системе. Теперь из любого окна DLP-системы пользователю доступна контекстная справка, содержащая всю информацию о разделе, в котором он находится. Справка оформлена в едином стиле Solar Dozor и поддерживает моментальный поиск нужной информации.

2017

Интеграция с NeuroDAT SIEM

Компании Solar Security и Центр безопасности информации в начале ноября 2017 года завершили интеграцию DLP-решения Solar Dozor и системы мониторинга информационной безопасности NeuroDAT SIEM. В рамках технологического сотрудничества реализована схема взаимодействия решений, которая позволяет обогащать NeuroDAT SIEM информацией об инцидентах из Solar Dozor.

Solar Dozor выявляет и предотвращает внутренние угрозы информационной безопасности компании. Решение собирает информацию о движении конфиденциальной информации и коммуникациях сотрудников компании через корпоративную и личную почту, различные мессенджеры, веб-ресурсы и многие другие каналы.

Кроме того, в отличие от других DLP-систем, Solar Dozor фиксирует не только факт утечки информации, но и нестандартное, подозрительное поведение сотрудников компании. Такая информация является результатом сложной аналитики и помогает выявить готовящуюся или скрытно ведущуюся атаку, незаметную для классических технологий предотвращения утечек.

Компании разработали коннектор, позволяющий передавать данную информацию из Solar Dozor в NeuroDAT SIEM. Как результат, теперь в NeuroDAT SIEM автоматизированное формирование различных типов инцидентов информационной безопасности на основе анализа и корреляции (сопоставления) событий происходит с использованием ещё одного важного поставщика событий.

При интеграции с Solar Dozor NeuroDAT SIEM агрегирует и анализирует события с источников, отслеживающих не только внешние, но и внутренние угрозы информационной безопасности. Благодаря этому офицер безопасности получает полную картину происходящего в компании из одной консоли, может применять единые аналитические инструменты ко всей информации о событиях. Это позволяет мгновенно выявлять ведущиеся атаки и оперативно реагировать на них, — отметил Василий Лукиных, менеджер по развитию бизнеса Solar Dozor компании Solar Security.

Учитывая, что NeuroDAT SIEM осуществляет сбор событий безопасности не только от DLP-систем, то, применяя реализованные в NeuroDAT SIEM механизмы корреляции событий, офицеры безопасности получат дополнительный инструмент сокращения числа ложных срабатываний при обнаружении инцидентов, связанных с утечкой данных, — добавил Иван Аксененко, Центр безопасности информации.

Интеграция с MaxPatrol SIEM

Компании Solar Security и Positive Technologies сообщили в октябре о завершении проекта по интеграции DLP-решения Solar Dozor и MaxPatrol SIEM ― системы, предназначенной для выявления инцидентов ИБ в реальном времени. Теперь Solar Dozor передает данные в MaxPatrol SIEM, благодаря чему офицер безопасности получает полную картину событий и инцидентов ИБ в компании, включая данные о передаче конфиденциальной информации по различным каналам, из одного источника.

Solar Dozor 6.5

12 октября 2017 года компания Solar Security представила очередную версию Solar Dozor, созданную для того, чтобы оптимизировать процессы конфигурирования и самодиагностики системы. В релиз вошёл целый ряд функций, упрощающих настройку системы, а также развёртывание и управление агентами.

В эргономичном интерфейсе упростилось управление настройками Solar Dozor 6.5. Это достигается благодаря интуитивной группировке и быстрому сквозному поиску параметров системы.

В частности, была доработана система развертывания и управления агентами. Solar Security 6.5 позволяет офицеру ИБ централизованно устанавливать агенты на рабочие станции, настраивать политики и отслеживать их состояние. В версии 6.5 есть своя карточка для каждой рабочей станции, где отражаются технические данные о ней, информация о всех логинившихся пользователях, сведения о статусе агента и актуальности настроек и политик. Это позволяет офицеру ИБ контролировать бесперебойную работу агентов Solar Dozor.

Кроме того, офицеру ИБ больше не нужно обращаться к системным администраторам за актуальной информацией о состоянии инфраструктуры, потому что в Solar Dozor 6.5 появился инструмент для исследования локальной сети на предмет появления новых узлов и сервисов, указали в Solar Security.

Чтобы настройка Solar Dozor не вызывала лишних сложностей, в версии 6.5 также реализована интерактивная справка, которую можно открыть в любом месте интерфейса системы.

Поддержка Postgres Pro

19 сентября 2017 года компания Solar Security, разработчик продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, объявила о реализации в системе Solar Dozor поддержки Postgres Pro, отечественной ветки СУБД PostgreSQL.

По словам разработчиков, оптимизация архива событий — важная часть развития Solar Dozor. В продукте реализованы механизмы управления долгосрочным и оперативным хранением, которые снимают ограничения на срок хранения и обеспечивают большое «плечо расследования» на любом отрезке времени. Поддержка PostgreSQL была реализована еще в версии Solar Dozor 6.1, и благодаря специально разработанной системе секционирования PostgreSQL достигалось сокращение затрат на хранение данных и увеличение скорости поиска по архиву. Подтвержденные возможности архива Solar Dozor составляют свыше 10 лет хранения данных и более 850 ТБ объема. В последней версии DLP-системы полнотекстовый поиск по архиву занимает всего несколько секунд.

СУБД Postgres Pro входит в реестр российского ПО, что делает связку Solar Dozor — Postgres Pro оптимальным решением для компаний, планирующих замещение зарубежных ИТ-систем отечественными.

Solar Dozor 6.4

11 апреля 2017 года компания Solar Security объявила о выходе версии DLP-технологии Solar Dozor 6.4.

В этой версии повышена результативность расследований и удобство работы пользователя с системой. Согласно заявлению разработчиков, Solar Dozor 6.4 на каждом этапе помогает офицеру безопасности быстрее получать необходимую информацию, экономить время на рутинных операциях и делать больший объём работ при меньших трудозатратах^[1].

Solar Dozor 6.4 предлагает офицеру безопасности инструмент — сводную аналитику по персоне. «Сводная аналитика по персоне» содержит полную сводку активности сотрудника — основную информацию, статистику по событиям и инцидентам, связи, коммуникации и файлы. Отчет адаптирован так, чтобы можно было сразу отправить его руководителю, представить на совещании или прикрепить к личному делу сотрудника в кадровой службе. Его можно отобразить в веб-интерфейсе или выгрузить PDF-файл для печати.

Еще один инструмент оптимизации расследований — анализ архива электронной почты сотрудников, созданного до внедрения DLP. «Заглянуть в прошлое» помогает функции сканирования почтовых серверов. Любой почтовый сервер, облачный или публичный сервис электронной почты, с поддержкой протокола IMAP, можно подключить к Solar Dozor 6.4 и анализировать архив переписки, применив политики и правила фильтрации. Это сокращает время получения первых результатов на пилотных проектах, поскольку после первого сканирования служба ИБ получает информацию по инцидентам, происшедшим до внедрения Solar Dozor.

Собственный прокси-сервер Solar Dozor Web-Proxy теперь работает в прозрачном режиме, в том числе при разворачивании SSL-шифрования. Такой подход позволяет использовать все возможности прокси-сервера без необходимости вносить дополнительные настройки интернет-соединения на рабочих станциях. Они просто подключаются к сети, и вся веб-активность сотрудников, включая зашифрованный трафик, оказывается под контролем.

В интерфейс Solar Dozor 6.4 добавлено более 100 изменений. Возможности интерфейса позволяют быстро создать инцидент из сообщения, добавить персону в группу особого контроля, найти объекты в досье, политиках и информационных объектах, оставлять комментарии к карточке инцидента и другое.

В версии Solar Dozor 6.4 реализован функционал «Хлебные крошки». Он позволяет просматривать и при необходимости быстро возвращаться к 10 последним действиям в системе. Это упрощает выполнение рутинных задач офицера безопасности, когда в ходе работы с DLP-системой ему приходится совершать множество щелчков мышью в минуту, переходя от основной ветки расследования к побочным. Теперь пользователю не требуется держать в памяти цепочку своих действий, чтобы быстро вернуться к основной ветке.

С самого начала мы стремились создать продукт, отличный от других решений российского рынка DLP — оптимизированный в части аналитики, удобный в работе и ориентированный на применение технологий в той же степени, в какой и на комфорт пользователя. В Solar Dozor 6.4 мы продолжили развивать аналитические инструменты офицера безопасности, сконцентрировавшись на том, чтобы упростить процесс расследования инцидентов. Кроме того, мы убеждены, что DLP-система должна подстраиваться под пользователя, а не наоборот. Поэтому большая часть работы над релизом была посвящена доработкам в части юзабилити. В итоге несмотря на то, что в основе Solar Dozor 6.4 лежат сложнейшие технологии, система стала еще более простой и удобной в использовании. Галина Рябова, руководитель направления Solar Dozor компании Solar Security

Solar Security и Kraftway представят совместное защищенное решение

Solar Security объявила о начале технологического партнерства с Kraftway. Пртнеры выведут на рынок совместное решение, ориентированное, в первую очередь, на организации государственного сектора, которые предъявляют повышенные требования к защищенности и происхождению инфраструктурных решений.

Совместная разработка представляет собой программно-аппаратный комплекс, включающий систему для защиты от внутренних угроз Solar Dozor, развернутую на доверенных серверах Kraftway. Они могут находиться под управлением одной из сертифицированных отечественных операционных систем, в том числе Astra Linux Special Edition 1.5 (релиз «Смоленск»), «ГосЛинукс» или «Циркон 36К».

Для повышения уровня доверия к аппаратным средствам Kraftway разработал и претворяет в жизнь концепцию доверенной платформы. Повышенная защищенность серверов Kraftway достигается за счет использования в их архитектуре разработанных в России материнских плат, а также исходных кодов встроенного микропрограммного обеспечения ключевых узлов (BIOS материнских плат и прошивки микроконтроллеров). Средства защиты и контроля информации глубоко интегрируются в материнские платы на этапе проектирования и запускаются на самом начальном этапе работы устройств, до старта операционной системы, с гарантированным приоритетом исполнения над всеми другими аппаратными и программными функциями. На все серверы компании также устанавливаются специализированные программные средства собственной разработки для сбора и обработки информации о событиях безопасности и мониторинга и управления инфраструктурой. Производство оборудования на заводе в России с возможностью интеграции в производственный цикл специальных проверок и исследований сводит к нулю вероятность наличия в серверном оборудовании недекларированных возможностей и скрытых каналов управления.

«Государственные информационные системы превращаются во все более привлекательную мишень для киберпреступников, действующих дерзко и изощренно, – отметил Шумилов Максим, заместитель директора департамента развития бизнеса Kraftway. – В современных условиях решение вопросов информационной безопасности невозможно без учета уязвимостей, находящихся ниже уровня ОС, в микропрограммном обеспечении на системных платах, в прошивках микроконтроллеров. Программно-аппаратные комплексы, создаваемые на основе доверенных платформ Kraftway, лишены таких уязвимостей и обладают дополнительным функционалом для отражения низкоуровневых атак на информационную инфраструктуру. Поэтому использование в качестве аппаратной основы доверенного серверного оборудования Kraftway позволяет разработчикам ПО и интеграторам выводить на рынок современные, надежно функционирующие, протестированные комплексы, которые помогут государственным организациям и предприятиям создать действительно эффективную систему превентивной защиты конфиденциальной и секретной информации».

2016

На Solar Dozor и АМТ InfoDiode анонсирован ПАК для контроля коммуникаций сотрудников

В ноябре компании Solar Security и АМТ-ГРУП объявили о создании программно-аппаратного комплекса для контроля коммуникаций сотрудников и выявления ранних признаков корпоративного мошенничества в компаниях с изолированными защищенными средами. Решение реализовано на базе продуктов Solar Dozor и АМТ InfoDiode.

Разработка ориентирована, в первую очередь, на государственный сектор, в том числе, силовые структуры, промышленность, топливно-энергетический комплекс, а также коммерческие предприятия любых отраслей, использующие изолированные контуры сетевой инфраструктуры. Применение DLP-систем в таких организациях накладывает определенные ограничения на хранение и обработку анализируемых данных. Даже если сбор осуществляется в незащищенном контуре, анализ и хранение информации должны проводиться в закрытом периметре, недоступном извне. Это позволяет обеспечить надёжный контроль коммуникаций сотрудников и гарантированную конфиденциальность корпоративной информации.

Программно-аппаратный комплекс представляет собой решение Solar Dozor 6, развернутое в открытом и закрытом контурах на защищенных серверах InfoDiode, разделенных аппаратным однонаправленным шлюзом. Применение Solar Dozor 6 совместно с АМТ InfoDiode позволяет гарантировать защиту критичных сегментов от внешних угроз, и, следовательно, обеспечить беспрецедентный уровень защищенности при осуществлении контролируемой выгрузки/загрузки информации. Сбор и фильтрация данных осуществляется на обоих серверах, но все данные, полученные в открытом контуре, передаются в закрытый сегмент, где хранятся и обрабатываются.

Данные могут передаваться как по протоколам прикладного уровня (FTP, SMTP, CIFS и др.), так и по протоколам транспортного уровня (TCP, UDP). Решение состоит исключительно из российских компонент как в программной составляющей (в т.ч., российской сертифицированной операционной системы Astra Linux), так и в аппаратной части.

Solar Dozor 6.2

28 сентября 2016 года компания Solar Security объявила о выпуске релиза версии Solar Dozor 6.2.

В версии Solar Dozor 6.2, в дополнение к привычному рабочему столу аналитика, реализован функционал под названием «Рабочий стол руководителя». Это раздел панели управления, предоставляющий руководителю подразделения ИБ или бизнес-заказчику DLP-системы возможность получить необходимую информацию для анализа оперативной обстановки.

Основная задача этого программного решения — помощь начальнику ИБ-отдела в управлении подчинёнными, использующими Solar Dozor. Руководитель службы ИБ может увидеть на одном экране сводную информацию о количестве событий и инцидентов, о том, сколько из них обработано или в стадии рассмотрения, кто отвечает на разбор того или иного события, может просматривать данные последних отчетов, сформированных офицерами безопасности^[2].

Графические виджеты на рабочем столе руководителя дают более высокоуровневое и обобщенное представление о ситуации в компании, динамике числа инцидентов и уровне угроз. Виджеты сгруппированы так, чтобы предоставить руководителю службы ИБ необходимые данные для быстрой оценки и внесения корректив в работу аналитиков, разбирающих инциденты.

В этой версии Solar Dozor реализован поиск и отображение связанных сообщений мессенджеров в виде бесед. По мнению разработчиков, этот привычный и понятный способ представления позволяет оценить, является ли срабатывание системы инцидентом, упрощает и ускоряет проведение расследований.

Чтобы служба безопасности имела уверенность в подконтрольности рабочих станций сотрудников, Solar Dozor 6.2 отслеживает и отображает статус активности агентов. При просмотре списка персон, входящих в соответствующую группу, или карточки персоны, офицер безопасности получит информацию о наличии агента на рабочей станции и его активности.

Многие DLP-системы до сих пор остаются своеобразным «черным ящиком» для пользователей, они точечно уведомляют о событиях ИБ, но не помогают офицеру безопасности сформировать единую картину того, что происходит в организации. Мы заботимся о том, чтобы аналитика в Solar Dozor была прозрачной и понятной, и для этого постоянно работаем над улучшением отчетов. Рабочий стол руководителя является очередным шагом в этом направлении: он сводит воедино всю верхнеуровневую аналитику, обеспечивая полноту и целостность видения ситуации в компании.

Solar Dozor 6.1

Новым аналитическим инструментом Solar Dozor 6.1 является «Тепловая карта коммуникаций», которая визуализирует интенсивность коммуникаций сотрудников или движения информации, при этом интенсивность коммуникаций в разрезе каналов кодируется цветом. Данный инструмент дает офицеру по безопасности возможность быстро оценить обстановку, увидеть потенциальные риски и «горячие точки». Используя этот инструмент, офицер по безопасности может построить графическую карту по интересующему его информационному объекту или персоне.

Также расширен функционал по контролю пользователей через анализ скриншотов их рабочих мест. Снятие изображения с экрана пользователя может быть настроено по расписанию, по нажатию заданной последовательности клавиш, по активному пользовательскому окну или приложению, например, по нажатию PrintScreen в окне CRM, ERP-системы или конструкторского приложения. Все скриншоты теперь попадают в «Досье на персону». Для удобного отображения, поиска и визуализации база скриншотов представлена в виде привычной для пользователей современной галереи, поддерживающей всевозможные фильтры, например, название активного приложения. Реализована возможность получения списка процессов и приложений, запущенных на рабочей станции в момент снятия скриншота.

Ещё одним новым инструментом стала расширенная карта коммуникаций информационных объектов, содержащая статистику по всем коммуникациям, связанным с передачей и хранением информационных объектов за конкретный период времени. Ранее была доступна возможность посмотреть карту коммуникаций одного информационного объекта, в новой версии стала доступна карта категорий информационных объектов. В результате офицер по безопасности, оценив общую обстановку, может быстро, в один клик получить детализацию по заинтересовавшему его информационному объекту с возможностью перехода к конкретному сообщению.

Как и в предыдущих версиях, при разработке Solar Dozor 6.1 было уделено большое внимание системе отчетности. Результаты работы со всеми новыми инструментами доступны и в отчётах, которые можно просматривать как в веб-интерфейсе решения, так и выгружать в формате PDF и/или XML. Также есть возможность настроить рассылку отчётов на e-mail всем заинтересованным лицам по расписанию.

Продолжая курс на поддержку импортозамещения и возможностей использования свободно распространяемого ПО, в данной версии были расширены возможности применения PostgreSQL, первая поддержка которой была реализована еще в 2005 г. В частности, доработаны механизмы долгосрочного хранения больших массивов данных, не уступающие, по словам разработчиков, по объемам коммерческим СУБД.

В Solar Dozor 6.0 в 5 раз увеличена скорость распознавания изображений

В июне 2016 года Solar Security сообщила о существенном развитии модуля Solar Dozor OCR, разработанного на основе технологий распознавания текстов компании ABBYY. Данный модуль позволяет в рамках DLP-системы Solar Dozor контролировать поток конфиденциальных данных и предотвращать их утечку за счет распознавания текстовой информации в различных изображениях.

Количество передаваемой информации как вовне, так и внутри организаций постоянно растет, тем самым повышается риск утечки конфиденциальной информации. Solar Dozor OCR позволяет распознавать графические образы текста в файлах изображений, которые сотрудники могут передавать по сетевым каналам, отправлять на печать, копировать на внешние носители или сохранять на сетевых хранилищах. Применение данного модуля в рамках DLP-системы помогает организациям защитить конфиденциальные данные от утечки, даже если они были конвертированы в графику – распечатаны и отсканированы, сфотографированы, сохранены в PDF, сняты с экрана в виде скриншотов и т.д.

Увеличение потока передаваемой информации приводит к росту нагрузки на оборудование и, как следствие, к вынужденному расширению инфраструктуры на стороне заказчика. Поэтому сотрудниками Solar Security и ABBYY было принято решение о развитии модуля OCR в рамках DLP-системы Solar Dozor. Скорость распознавания модуля была увеличена в 5 раз по сравнению с его базовыми показателями, что позволяет обрабатывать изображения в информационном потоке объемом более 700 Гб в сутки, не замедляя при этом работу DLP-системы. Увеличения скорости удалось добиться за счет предварительной обработки изображений: модуль осуществляет коррекцию перекосов строк и их искажений, определяет верх и низ документа и изначально отраженный текст, а также позволяет распознавать многоколоночный текст.

Solar Security первой выпустила DLP-агент для контроля рабочих станций на Linux

Весной 2016 года Solar Security первой среди отечественных DLP-разработчиков выпустила на рынок модуль контроля рабочих станций Dozor Endpoint Agent for Linux, являющийся частью DLP-системы Solar Dozor 6.0, предназначенный для работы с Astra Linux и GosLinux (Гослинукс).

Разработка Dozor Endpoint Agent for Linux является важным этапом развития первой российской DLP-системы Solar Dozor 6.0. Создание модуля продиктовано прежде всего требованиями российского рынка, так как все большее количество организаций в рамках импортозамещения переходит на свободные ОС на базе Linux.

Dozor Endpoint Agent for Linux позволяет контролировать содержимое данных на съемных носителях, печать на локальных и сетевых принтерах, а также осуществляет аудит рабочих станций и подключенных сетевых хранилищ на предмет нарушения политик хранения конфиденциальных данных, используя контентные и контекстные атрибуты.

Модуль Dozor Endpoint Agent for Linux может использоваться в организациях, где есть повышенные требования к защищенным системам, в нем предусмотрена возможность блокировки передачи данных для эффективной защиты наиболее критичной информации.

2015

Solar Dozor 6.0

В сентябре 2015 года Solar Security сообщила о выпуске «принципиально новой» версии DLP-системы – Dozor 6.0. В компании отмечают, что она разрабатывалась с учетом изменений вектора работы корпоративных служб безопасности: по наблюдениям Solar Security, вместо борьбы с отдельными утечками конфиденциальной информации безопасники теперь все больше фокусируются на борьбе с внутренним мошенничеством, защите от нелояльных сотрудников и сотрудников из групп риска, способных нанести экономический ущерб работодателю.

Чтобы Dozor лучше подходил для решения этих задач, в нем была расширена аналитическая функциональность и поисковые возможности, а также переработан интерфейс в соответствии с новой логикой работы.

«При разработке новой версии Solar Dozor 6.0 специалистами компании была проведена обширная исследовательская работа, обобщившая практику использования более 100 инсталляций предыдущих версий системы, — говорят в Solar Security. — Результатом этой работы стало существенное обновление системы, которое позволяет пользователям Solar Dozor 6.0 выявлять, блокировать и расследовать не просто утечки конфиденциальной информации, а полноценно бороться со сложными схемами корпоративного мошенничества».

Аналитические возможности

В числе новых аналитических возможностей Dozor – возможность выявлять аномалии в поведении и в коммуникациях сотрудников (например, общение с нетипичными контактами), возможность анализа данных на основе OLAP и BI-технологий с мгновенной детализацией, подсказка следующих шагов при проведении расследований. Также в системе появился каталог выявленных мошеннических схем и их ранних признаков с отраслевой спецификой, который может помочь при анализе событий и инцидентов.

В новой версии Dozor существенно расширилась функция «досье»: в предыдущей версии программы можно было составлять «досье» только отдельно на каждого сотрудника и отдельно рассчитывать уровень доверия к каждому из них, вводя основную часть информации для этого вручную. В новой же версии продукта досье можно составлять и на группы сотрудников, а данные в систему могут подгружаться автоматически из внешних систем – HRM и системы проверки контрагентов. Технология построения уровня доверия сотрудника была также усовершенствована.

Помимо сотрудников, «досье» теперь можно составлять и на информационные объекты, под которыми понимается группа документов и информационных сообщений определенной тематики: например, протоколы совещаний, резюме стратегии и планы. Также в Dozor была добавлена возможность интеграции модуля аналитики, расследования и хранения с любой сторонней DLP-системой.

Поисковые возможности

По заявлениям разработчиков, обновленный Dozor способен осуществлять поиск со скоростью менее чем 1 сек. в архиве из 17 млн сообщений. По словам гендиректора Solar Security Игоря Ляпунова, ранее поиск мог занимать от нескольких минут до 30-40 минут, в зависимости от объема массива данных, по которым он осуществлялся.

Ляпунов пояснил, что компания провела исследование, что чаще ищут пользователи, каковы наиболее типичные поисковые запросы при тех или иных расследованиях, и по многим запросам создала готовые срезы данных. За счет этого до 85-90% запросов должны обрабатываться быстрым поиском, ожидают в Solar Security. Интерфейс поиска при этом теперь выполнен в стиле традиционных интернет-поисковых систем.

Интерфейс

Интерфейс Dozor 6.0 существенно отличается от интерфейса предшествующих версий системы: он приобрел «космический вид», а его основой является ситуационный центр по внутренним угрозам, позволяющий решать большинство оперативных задач в рамках единой информационной панели. позволяет м для дальнейшего мониторинга и реагирования.

Интерфейс Dozor 6.0 адаптирован под работу по двум основным сценариям: регулярный мониторинг оперативной обстановки и проведение расследований.

На единой информационной панели доступна информация по важнейшим результатам работы системы, таким как критичные события, персоны и группы особого контроля, защищаемые информационные объекты, аномалии в поведения сотрудников, а также сводная информация по существующим в данный момент угрозам. По задумке компании, это должно упростить сотрудникам служб безопасности мониторинг событий и позволить быстро оценивать оперативную обстановку и выделять приоритетные на текущий момент задачи.

В ситуационном центре Solar Dozor 6.0 также реализован кейс-менеджмент для управления жизненным циклом инцидента: система позволяет назначать ответственного за проведение расследования, контролировать его ход и видеть результат.

Ценовая политика

Говоря о стоимости лицензий Dozor 6.0, гендиректор Solar Security Игорь Ляпунов заявил TAdviser, что в среднем она осталась такой же, как для лицензий предыдущей версии продукта, однако по наиболее распространенным инсталляциям стоимость окажется несколько ниже: принимая во внимание сложную экономическую ситуацию в стране, компания внесла изменения в структуру лицензирования и оптимизировала продукт по цене.

2014

Дозор-Джет 5.0.4

18 сентября 2014 года компания «Инфосистемы Джет» объявила о выходе нового релиза программного комплекса «Дозор-Джет» 5.0.4. Ключевая особенность релиза — наличие инцидентной модели расследования. Обновленный управленческий интерфейс системы позволяет интерпретировать и визуализировать необходимые для расследования данные в удобной форме с различным уровнем детализации.

Инцидентная модель превращает DLP-систему в инструмент расследования фактов нарушения информационной и экономической безопасности, повышающий эффективность ИБ- и СБ-служб, позволяя им выявлять и пресекать факты мошенничества или коммерческого сговора сотрудников на начальных стадиях.

Новый функционал позволяет разбирать инциденты на трех уровнях:

• оперативный уровень: система автоматически ведет мониторинг и анализ всех корпоративных коммуникаций сотрудников, создавая инциденты по событиям ИБ и присваивая им необходимый уровень критичности. На основе этих данных также формируется уровень доверия к каждому сотруднику. Сотрудник ИБ или СБ на этом уровне может перенаправить отдельные инциденты для более глубокой проверки или же пометить инцидент как ошибочный;
• тактический уровень: аналитик ИБ имеет возможность напрямую из окна инцидента просматривать досье участников коммуникации, выполнять глубокий анализ и расследование инцидента, в том числе на основе выявленных системой внутренних взаимосвязей между участниками подозрительной коммуникации (как внутри компании, так и вовне). Результат работы — расследование и квалификация инцидента ИБ, выявление причастного к нему круга лиц. По итогам расследования формируется отчет для руководства;
• стратегический уровень предусматривает работу руководителя служб ИБ или СБ и бизнес-руководства по принятию управленческих решений на базе отчетов, создаваемых в системе.

Технологии, используемые в «Дозор-Джет», позволяют при возросшем объеме работ, выполняемых комплексом, сохранить высокую производительность системы фильтрации: поток данных перехватывается и анализируется на скорости до 10 Гбит/с.

«Этот релиз переводит продукт из классических ИБ-систем в класс бизнес-систем, используемых, в том числе, и для обеспечения экономической безопасности. После модуля „Досье сотрудников`, увеличения скорости разбора трафика и перехода к хранению данных по технологиям Big Data, реализованных в предыдущих релизах „Дозор-Джет`, логичным стало введение инцидентной модели расследований. Это закономерный шаг, позволяющий перейти к созданию масштабной системы расследований инцидентов ИБ и глубокой бизнес-аналитики корпоративных коммуникаций», — рассказал Игорь Ляпунов, директор Центра информационной безопасности компании «Инфосистемы Джет».

Дозор-Джет 5.0.2

16 июля 2014 года компания «Инфосистемы Джет» объявила о выходе релиза 5.0.2 комплекса защиты от утечек информации «Дозор-Джет».

Разработчики изменили конфигурацию комплекса: начиная с этой версии комплекс состоит из трех функциональных блоков, объединяющих 12 модулей в соответствии с типом решаемых задач.

Нововведения носят организационный характер − они затрагивают лицензирование и модульную компоновку и не касаются технической архитектуры решения: модули теперь сгруппированы согласно конкретным задачам защиты от утечек информации. В результате оптимизированы логика внедрения и эксплуатация продукта, а также расширены технологические возможности по дальнейшему наращиванию его функционала.

В соответствии с новой модульной структурой, изменилась лицензионная политика. Она вступила в силу с июля 2014 года и отличается большей прозрачностью и гибкостью.

«Более чем за 15 лет на рынке «Дозор-Джет» прошел путь от почтового архива до одного из самых зрелых DLP-решений на российском рынке. Функционал комплекса неоднократно обновлялся в соответствии с актуальными тенденциями рынка, однако его структура оставалась неизменной, − отметил Игорь Ляпунов, директор Центра информационной безопасности компании «Инфосистемы Джет». – В результате мы сталкивались со сложностями запуска новых возможностей в рамках не соответствующей им структуры. Стремясь усовершенствовать этот процесс, мы создали концептуально новую структуру продукта, на базе которой будем продолжать его развитие. Это повлияло и на изменение лицензионной политики. По сути, мы «перезапустили» «Дозор-Джет»».

Структура «Дозор-Джет» 5.0.2

• блок Dozor Monitor, предназначенный для ведения пассивного мониторинга и анализа корпоративных коммуникаций, включая проверку сообщений электронной почты, систем мгновенных сообщений, файлов и других данных на соответствие положениям внутренних политик использования интернет-ресурсов и внутренних информационных ресурсов компании. Также он обеспечивает расследование инцидентов в области информационной и экономической безопасности в корпоративных информационных средах;
• блок Dozor Prevent − обеспечивает активный контроль и защиту конфиденциальных данных, позволяя не только отследить, но и предотвратить утечку информации из корпоративной сети по различным каналам коммуникации;
• Dozor Full Archive — третий блок, объединяет средства расширенного архива и проведения расследований. Этот блок содержит элементы Artificial Intelligence (технологии обработки и поиска данных) и позволяет проводить сегментирование баз данных, поиск похожих документов, категорирование почтовых сообщений.

Блоки и модули комплекса могут комбинироваться и масштабироваться в соответствии с величиной организации (от компаний сектора SMB до крупных холдингов со сложной распределенной филиальной сетью).

2012

Дозор-Джет 5.0.1

В версии 5.0.1 реализован контроль средств облачного распространения и обмена файлами, таких как Dropbox, «Яндекс.Диск», SkyDrive – и этот список постоянно пополняется. Популярность облачных технологий дает богатейшие возможности для развития DLP, особенно если говорить о новых агентах, сетевом взаимодействии, потому что объемы этих данных огромны.^[3]

Один из основных и принципиально новый функционал, который появился в пятой версии, называется «Досье». Речь идет о сборе данных о людях, которых подозревают в инсайдерских действиях. Технология использует различные алгоритмы получения дополнительной информаций и ее обработки и строится на интеграции систем ИБ и иных ИТ-систем. DLP-решение стало одним из ключевых узлов в системе управления безопасностью и способно давать наиболее полные ответы на вопросы, интересующие офицера безопасности с позиции защиты корпоративной информации (Что это за человек? Что он делает? Что он делал вчера? Есть ли в его действиях что-либо подозрительное?).

Режимов поиска и извлечения информации в процессе анализа довольно много: это поиск по части совпадения либо по статистическим отметкам. Режимы поиска настраиваются по уровням точности, достоверности. Поиск по нечетким параметрам включает поиск и документов с заменой, и тех, которые являются компиляциями других известных документов. В новой версии продукта «Дозор-Джет» реализован механизм точного поиска конфиденциальных данных, который мы называем шаблонным документом. Он сократит количество ложных срабатываний.

Дозор-Джет 5.0

В ноябре 2012 года «Инфосистемы Джет» объявила о выходе версии 5.0 комплекса защиты от утечек информации «Дозор-Джет» 5.0, обладающей значительными усовершенствованиями. «Дозор-Джет» 5.0 отличается интуитивно понятным интерфейсом и повышенной до 10 Гбит/с производительностью системы фильтрации, а также наличием новых функциональных модулей. Существенно упрощена эксплуатация и оптимизированы процессы обработки результатов работы комплекса и расследования инцидентов.

Новый интерфейс комплекса «Дозор-Джет» 5.0 делает работу офицера ИБ с системой более удобной и наглядной. Например, стало возможным быстро сравнивать результаты нескольких запросов и оценивать состояние всего комплекса в режиме online. Управление распределенными системами комплекса осуществляется из единой точки через web-интерфейс. При этом обеспечиваются постоянный мониторинг работоспособности всех сервисов и по необходимости их автоматический перезапуск. Это существенно сокращает время, необходимое офицеру ИБ для обслуживания системы, и повышает её управляемость и надежность.

Производительность системы фильтрации новой версии комплекса увеличена более чем в два раза и позволяет перехватывать поток данных на скорости 10 Гбит/с. Благодаря портированию системы фильтрации комплекса на платформу Crossbeam можно гибко наращивать его производительность и обеспечивать необходимый уровень надежности и защищенности.

Алгоритмы обработки информации в пятой версии комплекса оптимизированы для работы со значительными массивами данных. В частности, применение гибридного хранилища данных в «Дозор-Джет» 5.0 позволяет хранить непосредственно в базах данных только «легкие» метаданные писем и индексы. «Тяжелые» данные (вложения и пр.) хранятся в файловом хранилище. За счет этого достигнуто 60%-ное сокращение занимаемого места на дисковой подсистеме по сравнению с прошлыми версиями комплекса, существенно увеличена скорость помещения данных в базу (в некоторых случаях зафиксирован стократный рост показателя). Также пятая версия комплекса позволяет более эффективно работать с историческими данными, подключая их необходимые блоки в автоматическом режиме и самостоятельно контролируя корректность этого процесса. Усовершенствование разграничения понятий «отправитель» и «адресат» сообщений позволяет в разы снизить допустимую погрешность при поиске необходимой информации в условиях множества различных источников сообщений.

Возможности системы расширены с помощью новых функциональных модулей. Благодаря модулю интеграции с BI-платформой QlikView комплекс «Дозор-Джет» 5.0 может эффективно использоваться для контроля исполнения бизнес-процессов компании, мониторинга уровня лояльности сотрудников, составления понятных бизнесу верхнеуровневых отчетов картины информационного обмена при одновременном упрощении работы офицеров ИБ.

Механизмы глубокого анализа данных в пятой версии комплекса «Дозор-Джет» дополнены инструментом, позволяющим вести поиск схожих по содержанию документов и получать целостную картину информационного обмена по определенной тематике. Этот подход реализован в специальном модуле, позволяющем офицеру ИБ с помощью пары кликов определять тематику обнаруженного документа любого объема за счет выделения наиболее типичных слов и фраз и осуществлять поиск похожей информации в накопленном архиве.

2011

Дозор-Джет 4.0.26

В версии системы «Дозор-Джет» 4.0.26 заложена возможность осуществлять мониторинг не только отправляемых, но и получаемых сообщений c почтовых систем Google, Mail и других сайтов. В то же время, специалисты компании «Инфосистемы Джет» завершили разработку новой версии специального агента для рабочих станций, который позволяет осуществлять контроль документов, распечатываемых на принтерах (локальных и сетевых), контроль двусторонней переписки, голосовых вызовов и передачи файлов по Skype.

Анализ неструктурированного текста — еще одна из новых возможностей. Система автоматически анализирует любой неструктурированный текст, находит в нем наиболее значимые слова и выражения и формирует их список. После этого система сравнивает этот список со словарями, например, коммерческой лексики. Это позволяет повысить точность срабатывания оповещения об утечке и тем самым увеличить производительность работы администратора, пояснили в «Инфосистемах Джет».

В данной версии комплекса «Дозор-Джет» также повышена эффективность метода «цифровых отпечатков», позволяющего находить в конфиденциальных документах совпадения с эталонными текстами или изображениями и отслеживать случаи несанкционированного использования критичной для бизнеса информации.

В части интересных для администраторов нововведений можно отметить более удобный, интуитивно понятный интерфейс и новый механизм самоконтроля системы. С его помощью автоматически определяется объем «свободного» места в базах данных, и можно задать правила очистки данных архива. При этом механизмы поиска по накопленной базе стали работать быстрее и точнее. Кроме того, работает новый механизм интеллектуального поиска: система самостоятельно распознает вводимые e-mail адреса и осуществляет поиск по адресу электронной почты, что ускоряет работу для администратора.

В числе важных нововведений следует отметить возможность интеграции с центром оперативного управления информационной безопасностью (Security Operations Center), что позволяет офицерам безопасности получать структурированную информацию о событиях ИБ в едином интерфейсе. Специалисты оценят и новую возможность комплекса работать с Oracle 11 R2 и Oracle Exadata Machine, а также использовать технологию Real Application Claster от Oracle, считают в «Инфосистемах Джет».

Помимо всего, в новую версию комплекса специалисты компании «Инфосистемы Джет» добавили возможность мониторинга корпоративной почты и системы документооборота на основе ПО Lotus-Notes, которая является востребованной для многих компаний на сегодняшний день.

Коннектор для интеграции «Дозор-Джет» и ArcSight

Компания «Инфосистемы Джет» разработала летом 2011 года специальный коннектор для интеграции системы класса SIEM (Security Information and Event Management) ArcSight и комплекса защиты от утечек информации «Дозор-Джет». С его помощью информация, полученная системой мониторинга событий ИБ ArcSight из DLP-системы «Дозор-Джет», будет оперативно поступать офицерам информационной безопасности. Это позволит компаниям минимизировать финансовые и репутационные риски, точно и оперативно выявляя события и инциденты, связанные с утечками информации, говорится в сообщении компании «Инфосистемы Джет».

Разработка коннектора проходила в несколько этапов. Сначала специалисты «Инфосистем Джет» выделили основные типы событий, для которых необходим централизованный сбор с помощью решений ArcSight. В качестве транспорта был выбран протокол syslog как наиболее удобный в реализации: используется стандартный syslog-коннектор, что позволяет обходиться без покупки дополнительных лицензий на систему мониторинга, пояснили в «Инфосистемах Джет». Далее коннектор был доработан и протестирован на стендах компании. По результатам тестирования дополнительно были написаны корреляционные правила и составлены консоли, призванные помочь администраторам безопасности в работе с системой. На завершающем этапе проведено нагрузочное тестирование, которое продемонстрировало способность коннектора обрабатывать поток событий от нескольких серверов одновременно.

«Мы внимательно следим за спросом, постоянно обновляя и совершенствуя функционал продукта, — отметил Кирилл Викторов, заместитель директора по развитию бизнеса компании «Инфосистемы Джет». — Большинство наших заказчиков нуждалось в единой точке сбора всех логов, и теперь объединить нашу систему с решением ArcSight можно без особых усилий».

«Это был довольно сложный, но вместе с тем интересный проект, — рассказал Артем Медведев, руководитель направления Центров оперативного управления ИБ компании «Инфосистемы Джет». — Любая компания, имеющая в арсенале систему мониторинга событий ИБ, рано или поздно задумывается о необходимости ее объединения с DLP-решением. Мы на практике убедились, что интеграцию продуктов ArcSight можно провести фактически с любым приложением».

Примечания