SearchInform (ООО "СёрчИнформ") 

www.searchinform.ru
вернутся назад

Принципы работы КИБ "СёрчИнформ"

Как работает система?

Все модули системы размещаются на двух платформах «КИБ СёрчИнформ»:

Для комплексного контроля передаваемых данных целесообразно использовать одновременно и SearchInform NetworkController, и SearchInform EndpointController. Например, если агент сумел перехватить сообщения, не перехваченные на «зеркале», то, очевидно, имеет место шифрование трафика, которое может использоваться для передачи конфиденциальных данных за пределы организации. Когда же агент не перехватывает данные, появляющиеся на «зеркале», становится очевидным, что пользователь каким-то образом деактивировал агент, что также требует проведения немедленного расследования.

Network-icons51987.pngSearchInform NetworkController – платформа для перехвата данных на уровне зеркалируемого трафика. Таким образом, NetworkController обрабатывает трафик, не влияя на работу корпоративной сети.

Перехватываются данные, пересылаемые пользователями по популярным сетевым протоколам и каналам (SMTP, POP3, HTTP(S), IMAP, MAPI, NNTP, ICQ, XMPP, MMP, MSN, SIP, YAHOO, FTP) на уровне локальной сети.

Дополнительно к этому, в состав NetworkController входит:

  • модуль интеграции с почтовыми серверами, позволяющий извлекать сообщения напрямую из корпоративного почтового сервера;
  • модуль SMTP-интеграции, позволяющий получать пересылаемые контейнеры отчетов журнала.

Платформа включает в себя следующие продукты:

  • SearchInform MailController;
  • SearchInform IMController;
  • SearchInform HTTPController;
  • SearchInform FTPController;
  • SearchInform CloudController.

Принцип работы

Перехват сетевого трафика производится на уровне сетевых протоколов (Mail, HTTP, IM, FTP, Cloud). Возможна фильтрация по доменному имени пользователя, имени компьютера, IP- и MAC- адресам.

Перехваченные        сообщения помещаются в базу данных SQL, которая индексируется при помощи компонента Search Server. Индекс – особая структура, необходимая для быстрого поиска по перехваченным документам.

При помощи приложения SearchInform AlertCenter данные индекса с заданным интервалом проверяются на соответствие заранее настроенным политикам безопасности, состоящим из поисковых запросов. Расписание проверок и список запросов настраиваются работниками службы безопасности организации. В случае обнаружения совпадений SearchInform AlertCenter оповещает об этом сотрудника службы безопасности.

web-apps-icons.pngSearchInform EndpointController – платформа для перехвата и остановки трафика через агенты. Дополнительно позволяет контролировать сотрудника, находящегося в командировке за пределами корпоративной сети, ведь работник может свободно передать конфиденциальные данные с ноутбука третьим лицам.

Агенты SearchInform EndpointController позволяют перехватывать:
  • SearchInform MailController – входящую и исходящую (с возможностью блокировки) электронную почту, как через почтовые клиенты, так и с доступом через браузер;
  • SearchInform IMController – сообщения популярных мессенджеров, а также отслеживать общение в популярных социальных сетях;
  • SearchInform SkypeController – голосовые и текстовые сообщения, а также файлы и SMS, передаваемые через Skype;
  • SearchInform   DeviceController   –   информацию,   записываемую   на   подключаемые внешние устройства (USB-flash, CD/DVD и пр.);
  • SearchInform FTPController – информацию, передаваемую по протоколу FTP;
  • SearchInform CloudController  – входящие и исходящие файлы облачных хранилищ данных и SharePoint;
  • SearchInform PrintController – содержимое документов, отправленных на печать;
  • SearchInform MicrophoneController – разговоры сотрудников внутри офиса или за его пределами.
А также контролировать и отслеживать:
  • SearchInform FileController – операции с файлами, хранящимися на серверах и в общих сетевых папках.
  • SearchInform MonitorController – информацию, отображаемую на мониторах пользователей, нажатия клавиш и содержимое буфера обмена.
  • SearchInform  ProgramController  –  активность  пользователей  в  запускаемых  ими приложениях и на посещаемых веб-сайтах.

Принципы работы

Агенты SearchInform Endpoint- Controller производят теневое копирование отправленных на печать документов, переговоров в Skype; информации, записываемой на сменные носители, передаваемой по протоколу FTP и отображаемой на мониторах пользователей; отслеживают операции с файлами и направляют полученные данные серверу SearchInform EndpointController.

Сервер помещает перехваченные данные в базу под управлением СУБД Microsoft SQL Server.

Для быстрого поиска по базе и просмотра документов база индексируется компонентом Search Server. При помощи планировщика обновлений обеспечивается поддержание индекса в постоянно актуальном состоянии. В случае обнаружения фактов нарушения политик безопасности организации, SearchInform AlertCenter оповещает об этом сотрудника службы безопасности.


Как анализирует?

Alert Center КИБ SearchInformКонсоль администрирования офицера безопасности КИБ SearchInformЦентр отчетов КИБ SearchInform

«Мозговой центр» КИБ – AlertCenter – регулярно опрашивает все компоненты продукта, используя более 10 поисковых алгоритмов. При обнаружении определенных слов, фраз, фрагментов текста или файлов система сообщает об их использовании офицеру безопасности. Результаты мониторинга отображаются в ReportCenter.

Проверки происходят с заданной частотой и в соответствии с политиками безопасности, каждая из которых ориентирована на поиск данных конкретного типа. «КИБ СёрчИнформ» задействует два вида политик:

Универсальные политики безопасности Уникальные политики безопасности
Актуальны для каждой организации Учитывают специфику конкретной отрасли
  • контроль откатов и взяточничества;
  • выявление негативных настроений и сговоров в коллективе;
  • определение групп риска (проблемы с алкоголем, наркотиками, крупные долги и т.д.).
  • контроль передачи реестров выпуска банковских карт (финансовая деятельность/банки);
  • выявление фактов хищения перевозимой продукции (транспорт и логистика);
  • мониторинг тендерных закупок (торговля) и т.д.
В КИБ по умолчанию включено более 250 политик безопасности, которые могут применяться сразу после установки DLP-системы. Работа по созданию новых политик ведется постоянно.

«КИБ СёрчИнформ» использует следующие механизмы поиска:

  • Поиск по словам с учетом морфологии и синонимов.

    Простейший вид поиска, позволяющий находить документы, содержащие заданные слова, их различные формы и синонимы, вне зависимости от того, в каком месте документа они находятся.

  • Поиск по фразам с учетом порядка слов и расстояния между ними.

    С помощью данного вида поиска можно анализировать документ не по отдельным словам, а по словосочетаниям (например, фамилии и имени) или устоявшимся определениям.

  • Поиск по атрибутам.

    Использование этого вида поиска позволяет искать документы по их признакам (формату, имени отправителя или получателя и др.). Также можно отслеживать активность отдельных доменных пользователей, IP-адреса, определенные адреса электронной почты, документы и т.д.

  • Поиск по регулярным выражениям.

    Такой поиск позволяет отследить последовательности символов, характерные для различных форм персональных данных: содержащихся в финансовых документах, структурированных записях баз данных и т.п. С его помощью система оперативно реагирует на попытку отправки записи с такими персональными данными, как фамилия человека, день его рождения, номера кредитных карт, телефонов и т.д.

  • Поиск по цифровым отпечаткам.

    Этот вид поиска предполагает выявление группы конфиденциальных документов и снятие с них цифровых «отпечатков», по которым в дальнейшем и будет осуществляться поиск. С помощью данного метода можно быстро отследить в информационных потоках файлы, содержащие большие фрагменты текста из документов, относящихся к конфиденциальным.

  • Запатентованный алгоритм «Поиск похожих»

    Интеллектуальные возможности данного типа поиска позволяют отслеживать отсылку конфиденциальных документов даже в том случае, если они были предварительно отредактированы. В качестве поискового запроса используются как фрагменты документов, так и документы целиком. В результате поиска выявляются документы, содержащие не только весь поисковый запрос, но и файлы, похожие на него по смыслу. Данный алгоритм позволяет существенно сократить временные затраты на анализ информации, значительно упрощая работу специалиста по безопасности.

  • Комплексные поисковые запросы.

    Сложные запросы могут включать в себя два и более простых запросов, объединенных с помощью логических операторов AND, OR, NOT. C их помощью можно решать нестандартные поисковые задачи, выбирая именно те данные, которые нужны в данный момент специалисту по информационной безопасности.

Как наладить работу с системой?

  1. Автоматизируйте постоянные задачи по контролю данных

    Пусть DLP-система регулярно проверяет перехваченную информацию и сообщает о подозрительных действиях или нарушениях.

  2. Проводите оперативный поиск и расследуйте инциденты

    Как только система обнаружит проблему и оповестит об этом, офицеры безопасности смогут приступить к расследованию. Аналитических возможностей КИБ хватит, чтобы восстановить детали и предотвратить утечку.

  3. Анализируйте отчеты, чтобы оптимизировать рабочие процессы

    Программа собирает статистику и формирует более 30 отчетов, которые помогут:

    • управляющему – увеличить полезность сотрудников;
    • HR-департаменту – улучшить рабочую дисциплину;
    • IT-департаменту – автоматизировать контроль оборудования и ПО.
Если работа с системой налажена грамотно, с обеспечением безопасности в компании численностью 1000-1500 сотрудников справится один офицер безопасности.

Отдел внедрения «СёрчИнформ» поможет использовать КИБ максимально эффективно

Менеджеры отдела внедрения – это опытные практики, которые оперативно ответят на любые вопросы, а также:

  • Обучат работе с клиентскими приложениями продукта.
  • Помогут настроить необходимые политики безопасности.
  • Предложат оптимальное решение вашей задачи.
  • Проконсультируют по вопросам анализа перехваченной информации.
  • Разъяснят возможности новых версий продукта.
Не нашли решения? Просто обратитесь к нам.