Все модули системы размещаются на двух платформах «КИБ СёрчИнформ»:
Для комплексного контроля передаваемых данных целесообразно использовать одновременно и SearchInform NetworkController, и SearchInform EndpointController. Например, если агент сумел перехватить сообщения, не перехваченные на «зеркале», то, очевидно, имеет место шифрование трафика, которое может использоваться для передачи конфиденциальных данных за пределы организации. Когда же агент не перехватывает данные, появляющиеся на «зеркале», становится очевидным, что пользователь каким-то образом деактивировал агент, что также требует проведения немедленного расследования.
SearchInform NetworkController – платформа для перехвата данных на уровне зеркалируемого трафика. Таким образом, NetworkController обрабатывает трафик, не влияя на работу корпоративной сети.
Перехватываются данные, пересылаемые пользователями по популярным сетевым протоколам и каналам (SMTP, POP3, HTTP(S), IMAP, MAPI, NNTP, ICQ, XMPP, MMP, MSN, SIP, YAHOO, FTP) на уровне локальной сети.
Дополнительно к этому, в состав NetworkController входит:
Платформа включает в себя следующие продукты:
Перехват сетевого трафика производится на уровне сетевых протоколов (Mail, HTTP, IM, FTP, Cloud). Возможна фильтрация по доменному имени пользователя, имени компьютера, IP- и MAC- адресам.
Перехваченные сообщения помещаются в базу данных SQL, которая индексируется при помощи компонента Search Server. Индекс – особая структура, необходимая для быстрого поиска по перехваченным документам.
При помощи приложения SearchInform AlertCenter данные индекса с заданным интервалом проверяются на соответствие заранее настроенным политикам безопасности, состоящим из поисковых запросов. Расписание проверок и список запросов настраиваются работниками службы безопасности организации. В случае обнаружения совпадений SearchInform AlertCenter оповещает об этом сотрудника службы безопасности.
SearchInform EndpointController – платформа для перехвата и остановки трафика через агенты. Дополнительно позволяет контролировать сотрудника, находящегося в командировке за пределами корпоративной сети, ведь работник может свободно передать конфиденциальные данные с ноутбука третьим лицам.
Агенты SearchInform EndpointController позволяют перехватывать:Агенты SearchInform Endpoint- Controller производят теневое копирование отправленных на печать документов, переговоров в Skype; информации, записываемой на сменные носители, передаваемой по протоколу FTP и отображаемой на мониторах пользователей; отслеживают операции с файлами и направляют полученные данные серверу SearchInform EndpointController.
Сервер помещает перехваченные данные в базу под управлением СУБД Microsoft SQL Server.
Для быстрого поиска по базе и просмотра документов база индексируется компонентом Search Server. При помощи планировщика обновлений обеспечивается поддержание индекса в постоянно актуальном состоянии. В случае обнаружения фактов нарушения политик безопасности организации, SearchInform AlertCenter оповещает об этом сотрудника службы безопасности.
«Мозговой центр» КИБ – AlertCenter – регулярно опрашивает все компоненты продукта, используя более 10 поисковых алгоритмов. При обнаружении определенных слов, фраз, фрагментов текста или файлов система сообщает об их использовании офицеру безопасности. Результаты мониторинга отображаются в ReportCenter.
Проверки происходят с заданной частотой и в соответствии с политиками безопасности, каждая из которых ориентирована на поиск данных конкретного типа. «КИБ СёрчИнформ» задействует два вида политик:
Универсальные политики безопасности | Уникальные политики безопасности |
---|---|
Актуальны для каждой организации | Учитывают специфику конкретной отрасли |
|
|
Простейший вид поиска, позволяющий находить документы, содержащие заданные слова, их различные формы и синонимы, вне зависимости от того, в каком месте документа они находятся.
С помощью данного вида поиска можно анализировать документ не по отдельным словам, а по словосочетаниям (например, фамилии и имени) или устоявшимся определениям.
Использование этого вида поиска позволяет искать документы по их признакам (формату, имени отправителя или получателя и др.). Также можно отслеживать активность отдельных доменных пользователей, IP-адреса, определенные адреса электронной почты, документы и т.д.
Такой поиск позволяет отследить последовательности символов, характерные для различных форм персональных данных: содержащихся в финансовых документах, структурированных записях баз данных и т.п. С его помощью система оперативно реагирует на попытку отправки записи с такими персональными данными, как фамилия человека, день его рождения, номера кредитных карт, телефонов и т.д.
Этот вид поиска предполагает выявление группы конфиденциальных документов и снятие с них цифровых «отпечатков», по которым в дальнейшем и будет осуществляться поиск. С помощью данного метода можно быстро отследить в информационных потоках файлы, содержащие большие фрагменты текста из документов, относящихся к конфиденциальным.
Интеллектуальные возможности данного типа поиска позволяют отслеживать отсылку конфиденциальных документов даже в том случае, если они были предварительно отредактированы. В качестве поискового запроса используются как фрагменты документов, так и документы целиком. В результате поиска выявляются документы, содержащие не только весь поисковый запрос, но и файлы, похожие на него по смыслу. Данный алгоритм позволяет существенно сократить временные затраты на анализ информации, значительно упрощая работу специалиста по безопасности.
Сложные запросы могут включать в себя два и более простых запросов, объединенных с помощью логических операторов AND, OR, NOT. C их помощью можно решать нестандартные поисковые задачи, выбирая именно те данные, которые нужны в данный момент специалисту по информационной безопасности.
Пусть DLP-система регулярно проверяет перехваченную информацию и сообщает о подозрительных действиях или нарушениях.
Как только система обнаружит проблему и оповестит об этом, офицеры безопасности смогут приступить к расследованию. Аналитических возможностей КИБ хватит, чтобы восстановить детали и предотвратить утечку.
Программа собирает статистику и формирует более 30 отчетов, которые помогут:
Менеджеры отдела внедрения – это опытные практики, которые оперативно ответят на любые вопросы, а также: