«Контур информационной безопасности SearchInform» получил новый инструмент для проведения расследований

Безопасность Софт Администратору Софт
мобильная версия
, Текст: Татьяна Короткова

Компания SearchInform представила обновленную версию своего флагманского продукта — «Контур информационной безопасности SearchInform». Наибольший интерес представляют новые поисковые алгоритмы и новый продукт IncidentCenter, предназначенный для проведения расследований инцидентов информационной безопасности, сообщили CNews в SearchInform.

По словам разработчиков, IncidentCenter используется для двух задач: помощь при проведении расследований и ведение досье по сотрудникам. Так, любой документ, перехваченный «Контуром информационной безопасности», можно прикрепить к «Делу» или «Досье». IncidentCenter также поддерживает импорт файлов из сторонних систем, что позволяет консолидировать всю информацию по инциденту в рамках одной системы. «Заметки» и «Промежуточные резюме», в свою очередь, позволяют параллельно расследовать дело сразу нескольким сотрудникам отдела ИБ. В то же время, на каждого сотрудника может быть заведено «Досье», в котором будет аккумулироваться вся информация, полезная для контроля и общения с этим человеком: контакты, увлечения, сильные\слабые стороны и т.д.

Широкие возможности экспорта позволят донести информацию до ответственных лиц (директоров, начальников отделов и т.д.) без раскрытия первоначальных источников.

Модуль AlertCenter, отвечающий за автоматическое выявление нарушений заданных политик безопасности, получил сразу несколько новых видов поиска: статистические запросы, поиск по событиям в Active Directory, а также поиск по бинарным цифровым отпечаткам.

Статистические запросы позволяют автоматически выявлять инциденты на основе количественных показателей и аномальную активность среди сотрудников. В частности: количество скопированных файлов на внешний носитель; объём скопированных файлов на внешний носитель; количество отправленных писем; количество уникальных адресатов в отправленных письмах; максимальное количество уникальных адресатов в одном отправленном письме; количество исходящих сообщений в Skype, Lync, Viber, IM; количество различных собеседников в Skype, Lync, Viber, IM; количество напечатанных страниц; количество напечатанных документов; количество неудачных попыток логина.

Поиск по событиям в Active Directory призван автоматизировать обработку информации по подозрительным действиям в AD. Например, создание временных учетных записей, временное включение учетных записей в группы с широкими правами доступа и т.д.

В свою очередь, расширенные возможности поиска по цифровым отпечаткам позволяют выявлять меру схожести для двух произвольных документов. При этом сравнение происходит не только по «текстовой» части. Релевантность вычисляется как для бинарного содержимого проверяемых файлов, так и для извлеченного текста. Таким образом, можно обнаруживать факт пересылки любых файлов: фотографии или скриншота части карты, исполняемых файлов и т.д.

Как и ранее, каждый из видов поиска можно использовать как в «чистом» виде, так и в составе сложного запроса, что позволяет повысить КПД поисковых запросов и свести количество ложных срабатываний к нулю.

Помимо того, обновление получили практически все модули, входящие в состав «Контура информационной безопасности SearchInform». Так, SkypeSniffer получил возможность перехватывать картинки, отправляемые по Skype из буфера обмена, то есть даже в том случае, когда скриншот создается и сразу передается собеседнику без сохранения на компьютере в виде файла.

ReportCenter пополнился новыми отчетами. Теперь с помощью этого модуля можно визуализировать информацию об отсутствующих на работе пользователях, опозданиях сотрудников, ранних уходах, посещениях сотрудников, подключаемых к рабочей станции устройствах, вести табель рабочего времени, а также просматривать данные о продуктивности сотрудников. Кроме того, добавлен классификатор сайтов, который позволяет сразу же получить представление о том, на каких сайтах персонал проводит время: новостных, развлекательных, рабочих и т.д.