Solar Dozor – что скрывается за звездами?
За время работы с Дозором мы видели всякое. Но неизменно одно – при первой встрече система мало кого оставляет равнодушным. Одна группа клиентов встречает демонстрацию словами: «Ну наконец-то! DLP, где всё просто и наглядно!». Однако они ошибаются. Другая чем-то вроде «Да это игрушка какая-то. Для нас будет недостаточно мощным». Но и они ошибаются. Так что же там, за звёздами?
Как и в предыдущей статье, вопросы технических требований, стабильности и полноты контроля оставим за скобками. Зоопарк ПО, масштабы и задачи у всех разные, а DLP – штука тонкой душевной организации. В итоге, про какого вендора на площади ни крикни, первыми прибегут те, у кого «упало», «тормозило», «не смогло». [И так уж совпало, что мы как раз готовы помочь – «поднять», «ускорить» и «оттюнить». Но это уже совсем другая история.]
Вернёмся к тому, что, как и любая информационная система, Dozor старается балансировать между мощью и простотой. Да так, чтобы обе составляющих выкрутить на максимум. Вот только возможно ли это?
Встречает нас простота – дашборд. Всё красиво, наглядно, в картинках. Дашборд руководителя – вообще сказка – тренды по нарушениям, ТОП нарушителей, оценка нагрузки на команду. Но что за этим стоит, откуда весь этот контент?
1. Рабочий стол (дашборд)
2. Рабочий стол руководителя
В основе всего лежит принцип оперирования информационными объектами. И вот он, момент, где функционал вытесняет наглядность. У нас довольно большая команда и после первого знакомства с системой мы потратили кучу времени, слайдов и фломастеров, чтобы понять, что же здесь творится. Если коротко и упрощая, система при помощи политики, состоящей из правил, оперирующих информационными объектами, заданными критериями с возможностью использования шаблонов, создаёт из сообщений события, имеющие возможность стать инцидентами.
3. На каком ты сейчас уровне?
Немного пугает, правда? Хорошая новость – для работы с системой в этом разбираться не обязательно. По крайней мере, всей команде. Найдите/наймите/арендуйте человека, который это всё настроит. Для всех остальных пусть самолётом управляет магия.
4. Схема выявления критичной информации
Самое главное, что из потока информации система создаёт «события» – уведомления о том, что вероятно что-то не в порядке. А дальше снова красота. У события есть красивая карточка, где кратко описано, кто, что и каким способом натворил. Для простоты карточки ранжируются по критичности и типу действий (снова магия). Остаётся внимательно на неё посмотреть и проверить, правильно ли заклинание сработало.
5. События в системе
В один клик отдаём неправильное нашему чародею на «допил», а правильное фиксируем как инцидент. Зафиксировали? Кричим в соседний кабинет: «Коллеги, примите в работу!». А нет, система просит назначить ответственного. Назначаем – самый ответственный получает уведомление. В итоге у каждого события есть статус, а у каждого инцидента – ответственный. Ничего не потеряли. Статусы система учла и считает те самые тренды. Красота.
На что ещё способна эта магия? Прерывать процесс передачи данных, если они классифицированы как информационный объект. Выдавать предупреждения о потенциальном нарушении (по тому же принципу). Приостанавливать почту в карантин (и сразу же уведомлять об этом на дашборде). Модифицировать письма, убирая критичные объекты. Распределять нарушителей в группы особого контроля.
С основной рутиной разобрались. Дальше – заглянуть в прошлое – поиск. И снова нас встречает красота – простой поиск. Привычными движениями «гуглим» информацию в строке поиска. Не хватает? Переходим в режим расширенного поиска. И снова наглядность нас покидает. Множество доступных для поиска атрибутов – хорошо, но попробуйте сходу отличить «отправитель» от «персона» или «источник» или даже «персона-источник». Так ещё логические операции выполняются в не самом очевидном порядке. Сложно. А вот умный поиск хорош – позволяет найти похожие файлы среди всех коммуникаций – всего пара кнопок, а какой простор для творчества.
6. Умный поиск
Досье. Снова красота. Вся информация по персоне так ещё и вся статистика по нарушениям (снова магия информационных объектов). Граф связей в комплекте, правда, ни красотой, ни мощью не отличается.
7. Пример досье
Отчеты. Выбор, конечно, не богат. Но вот «Тепловая карта коммуникаций» – очень полезная штука. Мало кто сходу сможет сказать, в каких подразделениях какая информация обрабатывается. А зачастую сложно даже определить, где какими каналами коммуникаций пользуются. Вот здесь и поможет тепловая карта. Вся активность выбранной группы сотрудников будет распределена по категориям, а дальше делаем выводы: какие действия норма, а какие – аномалия.
8. Тепловая карта
Полезно на старте настройки, пригодится и в дальнейшей работе. Остальные отчеты скорее для возможности передать коллегам/руководству всё то, что мы сами видим в различных разделах системы.
Там, за звёздами, темно и страшно. Возможно, когда-то красота доберётся и туда. А может это и нереально – сделать сложное совсем уж простым. Но пока вглубь системы рекомендуем отправлять туда только специально обученных людей с запасом жизненно необходимых мануалов.
9. Группа настройки
А вот оставшихся на поверхности ждет одна из самых дружелюбных систем.
Николай Постнов, руководитель направления конфигурирования Блока DLP компании Infosecurity a Softline Company.
Обзор Solar Dozor 6.1
В обзоре рассматривается новая версия российской DLP-системы Solar Dozor 6.1 (ранее представленной на рынке под названием «Дозор Джет») от компании Solar Security. Solar Dozor 6.1 представляет собой новый этап в развитии версии 6.0, вышедшей осенью 2015 года, и наследует идеологию, впервые предложенную разработчиками в той версии продукта. В Solar Dozor 6.1 серьезно переработана сама концепция взаимодействия с DLP-системой и существенно улучшен аналитический функционал, необходимый для выявления и предотвращения корпоративного мошенничества.
Сертификат AM Test Lab
Номер сертификата: 167
Дата выдачи: 01.08.2016
Срок действия: 01.08.2021
Введение
На протяжении многих лет ключевой функцией любой DLP-системы была возможность контролировать выход защищаемой информации за периметр организации. В центре внимания сначала были электронная почта, USB, интернет-мессенджеры и т. д. Постепенно критерием зрелости DLP-системы стало число каналов передачи данных, которые она способна контролировать. В результате этого в фокусе внимания информационной безопасности оказывались инциденты, на которые срабатывала политика безопасности. Но, как показала практика, такой подход был эффективен в большей степени для выявления случайных утечек информации. Собственно, многие производители DLP-решений честно позиционировали свои продукты именно как системы предотвращения случайных утечек.
При таком использовании фиксация целенаправленных внутренних угроз, прежде всего, корпоративного мошенничества, оставалась делом случая. Вот и получилось, что сами утечки информации могли выступать только сигналом к проведению полномасштабного расследования, которое фактически начиналось с большим опозданием. Требовался новый подход, который позволил бы действительно эффективно использовать информацию, накопленную в DLP, ведь именно с помощью последующего разбора инцидента удается понять причины и следствия действий нарушителей, выявить круг причастных лиц и собрать необходимые доказательства.
В результате на первый план вышли уже не только технологии перехвата трафика, но и создание долгосрочного архива перехваченной информации, а также аналитические инструменты для работы с большими объемами накопленных в DLP-системе данных. Именно к таким выводам пришла команда Solar Dozor после проведения масштабного исследования, которое включало в себя общение с DLP-практиками и анализ лучших подходов служб информационной безопасности к расследованию инцидентов.
Исходя из предпосылок, выявленных в ходе опроса ИБ-специалистов, в новой версии Solar Dozor был сделан упор на изменение принципа работы с системой. Был кардинально переработан интерфейс, который стал удобным инструментом для оперативного мониторинга и разбора инцидентов. Продвинутые аналитические возможности системы и действительно быстрый поиск по архиву помогают офицерам информационной безопасности работать с большими объемами информации и выявлять ключевые направления расследования. Таким образом, новая версия Solar Dozor позволяет не только бороться с утечками информации, но и дает огромный набор возможностей и методологических подходов для выявления признаков корпоративного мошенничества. Обо всем этом и пойдет речь в нашем обзоре.
Системные требования Solar Dozor 6.1
Минимальная установка
Для минимальной установки достаточно одного или двух узлов со следующей конфигурацией:
Крупная установка
Для крупных установок рекомендуется использовать следующую конфигурацию
оборудования:
В дополнение к указанному размеру системы хранения рекомендуется использовать дисковые полки или СХД для хранения баз данных и для долговременного файлового хранилища.
Требования к инфраструктуре
Для поддержания нормальной работоспособности Solar Dozor инфраструктура должна соответствовать следующим требованиям:
Необходимое ПО для установки
Для установки Solar Dozor необходимо наличие следующего ПО:
Требования к аппаратному обеспечению контролируемых рабочих станций
Для установки и эффективной работы агента Solar Dozor рекомендуется следующая конфигурация рабочей станции:
Агент Solar Dozor функционирует под управлением операционных систем:
Контроль коммуникаций в Solar Dozor 6.1
Solar Dozor 6.1 как классическая DLP-система обеспечивает перехват по широкому спектру каналов передачи данных, закрывая все самые хитроумные лазейки.
В зависимости от технической возможности и требований производительности для каждого канала подобрана оптимальная точка сбора трафика — на сетевом шлюзе, прокси-сервере или рабочей станции.
Solar Dozor совместим с любым прокси-сервером, а также может поставляться с собственным модулем Dozor Web Proxy. Кроме этого, Dozor Web Proxy может использоваться как самостоятельное решение для защиты от рисков, связанных с использованием веб-ресурсов.
Solar Dozor покрывает все самые популярные каналы передачи данных и обеспечивает мониторинг и контроль коммуникаций по электронной почте, через интернет-ресурсы, в мессенджерах, а также отслеживает активности сотрудников на их рабочих станциях и проводит аудит хранилищ информации.
Рисунок 1. Каналы перехвата Solar Dozor
Solar Dozor 6.1 в зависимости от задач заказчика может работать как в режиме мониторинга, так и в режиме блокировки передачи данных. Таким образом, решение способно не только фиксировать нарушения, но и в случае необходимости предотвратить кражу конфиденциальных данных. Кроме этого, система может вносить изменения в содержимое пересылаемого сообщения или вложения — исключать или заменять информацию. А чтобы привить сотрудникам культуру обращения с конфиденциальными данными, Solar Dozor выводит пользователю окно с предупреждением, если тот нарушил политику безопасности.
На данный момент Solar Dozor является единственным отечественным DLP-решением, имеющим агентский модуль для ОС Linux, что является неоспоримым преимуществом для организаций, перешедших на СПО.
Также из функционала агента стоит отметить контроль буфера обмена и снимки рабочего стола. Хотя эти инструменты реализованы не у всех производителей DLP-систем, по факту они давно стали необходимыми и выручают офицера безопаности при проведении расследований.
Особенности Solar Dozor 6.1
Создатели любого программного продукта в свое время проходят один и тот же путь быстрого наращивания функционала для удовлетворения потребностей растущего рынка. Но в один прекрасный момент оказывается, что пользователь вырабатывает для себя лучшие практики решения своих задач, оперируя достаточно простыми функциями, которые составляют не более 10% от всех заявленных возможностей продукта. Аналогичная ситуация произошла и с DLP-системами.
На практике оказывается, что офицер информационной безопасности уделяет работе с решением в среднем 2 часа в день. За это время безопасник должен понять, что произошло с момента последней сессии работы с системой и какие события требуют незамедлительной реакции. Чтобы специалист мог выполнить все задуманное в срок, разработчики Solar Dozor 6.1 сконцентрировались на принципах простоты работы с интерфейсом, быстроте и удобстве взаимодействия с системой при каждодневном применении.
Одним из основных принципов организации нового интерфейса является наличие необходимых срезов данных для решения стандартных задач, без построения поисковых запросов и отчетов. В новой версии Solar Dozor был сделан упор на максимальную автоматизацию процессов: все самые важные функции всегда оказываются под рукой, а сквозной drill-down-подход позволяет быстро получить всю необходимую информацию.
Чтобы облегчить жизнь безопасника, создатели Solar Dozor включили в поставку отраслевые настройки, позволяющие быстрее разворачивать решение и получать первые результаты без сложной конфигурации. В целом при эксплуатации системы заметны мелкие, но приятные функции, в которых прослеживается забота о пользователе: это и предикативный набор при поиске, и подсказки следующего шага при проведении расследований. В общем, решение стало удобным и эффективным инструментом расследования и принятия решений по инцидентам информационной и экономической безопасности.
Ситуационный центр в Solar Dozor 6.1
Первым интерфейсом, который видит офицер информационной безопасности в Solar Dozor, становится Рабочий стол. Этот пульт управления системой построен по принципу «ситуационного центра» и позволяет выполнять основные задачи, которые стоят перед сотрудником ИБ:
В первую очередь рабочий стол позволяет провести быструю оценку оперативной обстановки и, выбрав первоочередные задачи на данный момент, углубиться в разбор конкретных событий и инцидентов.
Виджеты на рабочем столе собраны таким образом, чтобы под рукой оказалась вся самая необходимая информация. В поле зрения безопасника попадают три основные сущности: а) критичная информация в виде информационных объектов; б) сотрудники — они же персоны; в) нарушения — события информационной безопасности.
Рисунок 2. Фокусы внимания
Данная концепция позволяет пользователю системы взглянуть на одно и то же нарушение с трех разных точек зрения, получив всеобъемлющую информацию, которая станет «топливом» для «машины расследований».
Рисунок 3. Рабочий стол в Solar Dozor 6.1
Взглянув на главный рабочий стол Solar Dozor, можно быстро понять, какие нарушения система фиксирует в данный момент времени, как перемещается в организации защищаемая информация, чем занимаются люди (персоны), за которыми установлен особый контроль.
Управление событиями и инцидентами
Для эффективной работы с инцидентами в Solar Dozor реализована полноценная система кейс-менеджмента, позволяющая управлять жизненным циклом инцидента на всех этапах расследования.
Solar Dozor, как любая классическая DLP-система, фиксирует нарушения политик безопасности и отображает их в виде событий. Каждый элемент списка событий представляет собой информационную строку, в которой приведены основные сведения о событии. Такое представление позволяет офицеру безопасности просматривать множество событий, зарегистрированных в системе, при этом получая информацию о каждом из них.
Рисунок 4. События и инциденты в Solar Dozor 6.1
Проводя оперативный мониторинг, специалист по безопасности может быстро выявить в потоке критичные события, перевести их в статус инцидента и назначить ответственного сотрудника для расследования нарушения.
Рисунок 5. Создание инцидента в Solar Dozor 6.1
Таким образом удается построить эффективный конвейер по разбору инцидентов. Информация обо всех назначенных на офицера безопасности инцидентах будет отображаться в разделе «Мои инциденты».
Рисунок 6. Раздел «Мои инциденты» в Solar Dozor 6.1
Тут же отображаются сообщения, передача которых была заблокирована системой. Они всегда находятся на главном экране для быстрой обработки и обеспечения непрерывности бизнес-процессов.
Рисунок 7. Заблокированные письма в Solar Dozor 6.1
Аналитический инструментарий
Если проводить аналогию с расследованиями в реальном мире, то результаты работы DLP-системы схожи с донесениями агентурной сети. Аналитик получает огромные объемы оперативной информации «с полей», и чтобы принимать правильные решения, ему нужны эффективные и удобные инструменты анализа. Чтобы выделить из информационного шума самые важные доказательства, офицер безопасности постоянно задает себе (и DLP-системе) различные вопросы, как например:
То же самое касается информации — офицера интересует, как перемещается критичная информация в организации: кто, когда, по каким каналам, как часто и что пересылает, какие есть типичные и нетипичные информационные потоки, что является нормой, а что аномалией.
Это далеко не полный список, но на эти и многие другие вопросы помогает быстро ответить мощный и удобный инструментарий аналитики в Solar Dozor.
Контроль информационных объектов в Solar Dozor 6.1
Для контроля распространения конфиденциальной информации в Solar Dozor реализована сущность под названием информационный объект. Она описывает класс информации, имеющей ключевое значение для бизнеса и требующей особого внимания со стороны службы безопасности. Данные могут передаваться в различных форматах: в виде электронных документов, в тексте сообщения, в виде отсканированных изображений, внутри архивов и т. п. Поэтому целесообразно задать как можно больше разных представлений этой информации, сгруппированных по каким-либо общим критериям. Информационный объект помогает описать понятные в обращении документы: финансовые документы, резюме, стратегические планы, протоколы совещаний и т. п.
Мониторинг осуществляется с Рабочего стола или из раздела «Информационные объекты». Для удобства пользователя информационные объекты могут быть сгруппированы по категориям. При этом каждая категория может содержать либо подкатегории, либо непосредственно информационные объекты.
Рисунок 8. Информационные объекты в Solar Dozor 6.1
Например, для мониторинга и контроля движения финансовых документов можно объединить соответствующие информационные объекты в категорию «Финансовые документы». Информационные объекты, содержащие документы, с которыми работают специалисты кадрового отдела, объединяются в категории «Кадровый отдел». При этом к каждому информационному объекту можно применить разные правила контроля.
Чтобы собрать всеобъемлющую информацию о движении информационных объектов в Solar Dozor, нужно обратиться к карточке-досье на информационный объект. Она содержит подробные сведения о том, кто и по каким каналам передавал защищаемую информацию.
Информация в карточке информационного объекта представлена в следующих срезах:
Рисунок 9. Сведения о передаче Информационных объектов в Solar Dozor 6.1
Досье на сотрудников в Solar Dozor 6.1
Традиционно DLP-системы были построены вокруг концепции защиты информации, и весь принцип работы с ними также вращался вокруг данных — сообщений, файлов, категорий и т. д. За это в решении отвечает контроль информационных объектов. Но что если взглянуть на нарушение политик глазами самого нарушителя, вжиться в его роль, проследить его активность?
Для этих целей в Solar Dozor разработан инструментарий ведения «Досье» на сотрудников и группы лиц, требующих особого контроля. В такие группы обычно помещаются новые сотрудники, персоны, заявившие о скором увольнении, и прочие сотрудники, вызывающие подозрение у службы безопасности или своих руководителей. Проводя глубокую аналитику действий и коммуникаций сотрудников, офицер безопасности шаг за шагом собирает доказательства и составляет досье на людей и информационные объекты. Краткую информацию о сотруднике можно получить, открыв его карточку.
Рисунок 10. Краткая карточка персоны в Solar Dozor 6.1
В полной карточке персоны можно просмотреть:
Рисунок 11. Полная карточка персоны в Solar Dozor 6.1
Solar Dozor поддерживает интеграцию с кадровыми системами и системами класса IdM, что позволяет офицеру безопасности собирать ценную контекстную информацию о сотруднике, например, сведения о дате приема на работу и дате предполагаемого увольнения, а также сведения о выданных ему привилегированных правах.
Досье является центром консолидации данных о сотруднике и позволяет офицеру безопасности прикреплять к карточке файлы с комментариями, например, анкетой соискателя или данными из внешних систем проверки контрагентов. Благодаря этому офицер безопасности может в одном месте легко накапливать и связывать информацию, которую он «накопал» на подозреваемого сотрудника.
Галерея скриншотов рабочего стола в Solar Dozor 6.1
Скриншоты с рабочих станций сотрудников являются ценнейшим источником доказательств при расследовании инцидентов информационной безопасности. По сути они выступают в качестве фотографий с места преступления и помогают поймать нарушителя с поличным. В Solar Dozor скриншоты рабочего стола входят в функционал «Досье». Данный инструмент позволяет настроить снятие скриншотов по расписанию или нажатию заданной комбинации клавиш на рабочей станции, например, после Enter или PrintScr. В новой версии Solar Dozor 6.1 кардинально переработана система визуальной работы с базой скриншотов. Архив изображений представлен в виде привычной для пользователей галереи, поддерживающей всевозможные фильтры для удобного отображения и визуализации. Решение также представляет список процессов и приложений, запущенных на рабочей станции в момент снятия скриншота, что значительно ускоряет процесс просмотра и получения нужной информации.
Граф взаимосвязей сотрудников Solar Dozor 6.1
Справедливо высказывание, что связи правят миром, но при этом самые тяжкие правонарушения совершаются не в одиночку, а совместно с подельниками. Расследуя инцидент, очень важно знать всех участников событий. Для выявления сообщников и нетипичных контактов пользователей Solar Dozor предлагает инструмент «Граф связей». В отличие от классических DLP-систем, где пользователи и их связи отображаются списками, визуализация в виде социального графа помогает легко оценить контакты пользователя. Инструмент дает понимание устойчивых связей сотрудников, случайных контактов и общих знакомых как внутри организации, так и за ее пределами.
Рисунок 12. Граф связей сотрудников в Solar Dozor 6.1
Уровень доверия к сотрудникам в Solar Dozor 6.1
Как обнаружить угрозу еще до того, как она реализовалась? Нужно наблюдать за людьми и пристально отслеживать любые изменения в их обыденном поведении. Злоумышленник обязательно себя выдаст. У любого человека есть некоторый нормальный сценарий поведения, который непрерывно рассчитывается и анализируется интеллектуальной системой Solar Dozor.
Как только в активности пользователя появляются нарушения политик безопасности, уровень доверия снижается, таким образом показывая, что сотруднику следует уделить особое внимание.
Рисунок 13. Уровень доверия к сотрудникам в Solar Dozor 6.1
Группы риска в Solar Dozor 6.1
Контролировать всех значит не контролировать никого. Сконцентрировать внимание на сотрудниках и группах, вызывающих подозрение, в Solar Dozor помогают группы особого контроля.
Для мониторинга действий сотрудников, требующих особого внимания со стороны службы безопасности (уволенных, увольняющихся, на испытательном сроке и т. п.), можно добавить соответствующих сотрудников в определенные группы категории «На особом контроле». Внешних сотрудников можно объединить в группах категории «Внешние персоны». При этом к каждой группе можно применить разные правила контроля.
Рисунок 14. Группы особого контроля в Solar Dozor 6.1
Поиск по архиву событий и инцидентам в Solar Dozor 6.1
Архив событий и инцидентов любой DLP-системы содержит огромные массивы данных, включая переписку сотрудников и вложенные файлы. Одним из регулярных сценариев работы офицера безопасности становится поиск нужной информации в этом архиве, т. к. простой просмотр карточек сотрудников, их сообщений будет отнимать слишком много времени. Традиционно поставщики DLP-решений шли по пути работы с архивом как с СУБД. Многие помнят, как приходилось писать поисковые запросы на SQL. Но такая практика ушла в историю. Поиск в Solar Dozor построен по принципу «проще — лучше — быстрее». Пользователю системы не нужно обладать какими-либо специальными знаниями. Если вы хорошо справляетесь с поиском писем в Microsoft Outlook, то у вас все получится. Для первого опыта будет достаточно разобраться с «Быстрым поиском» и попрактиковаться с вводом собственных поисковых запросов, как это делается в Google.
При поиске офицер безопасности задает критерии поиска: что, где и за какой период искать:
Рисунок 15. Поиск по архиву событий и инцидентам в Solar Dozor 6.1
Такие запросы можно сохранить для использования в будущем в «Шаблонах поиска», там же находится и библиотека готовых поисковых запросов.
Рисунок 16. Шаблоны поиска в Solar Dozor 6.1
В Solar Dozor реализована уникальная технология быстрого поиска. На получение результатов поиска после введения запроса требуется не более 1 секунды даже при работе с большими архивами, в которых хранится, например, 17 млн сообщений.
Отчеты в Solar Dozor 6.1
Руководители информационной безопасности и высшее руководство регулярно задаются вопросом, как в компании обстоят дела с угрозами, исходящими от сотрудников. Для оценки ситуации в макромасштабе в Solar Dozor предусмотрен богатый функционал отчетности.
Разработчики системы понимают, насколько важно качественно презентовать результаты своей работы руководителям. На таких встречах нет времени углубляться в детали, и важно быстро и грамотно отразить ключевые события. В разделе «Отчеты» веб-интерфейса Solar Dozor офицер безопасности может построить статистические выборки, проследить динамику развития событий и сформировать разнообразные отчеты, которые наглядно визуализируют исчерпывающую информацию по инцидентам.
Рисунок 17. Пример отчета в интерфейсе Solar Dozor 6.1
Благодаря отчетам в Solar Dozor службе безопасности не придется вручную просчитывать и визуализировать накопленные данные. Отчеты строятся автоматически за считанные секунды, что позволяет быстро подготовиться к важной презентации.
Рисунок 18. Пример отчета в интерфейсе Solar Dozor 6.1
Кроме этого, есть возможность настроить рассылку отчетов на email всем заинтересованным лицам по расписанию, чтобы они всегда были в курсе актуальных рисков и контролировали процесс расследования. Отчеты можно просматривать как в веб-интерфейсе решения, так и выгружать в формате PDF и/или XML.
Рисунок 19. Сводный отчет в Solar Dozor 6.1. Пример в формате PDF
Краткие сводные отчеты позволяют руководителям служб безопасности видеть общую картину и текущее состояние защищаемой информации, более подробные отчеты могут помочь выявить ошибки в политике безопасности компании. Solar Dozor позволяет формировать следующие виды отчетов:
Тепловая карты коммуникаций в Solar Dozor 6.1
Продолжая развитие инструментов для визуализации коммуникаций, в Solar Dozor 6.1 появился новый уникальный для DLP-систем отчет — «Тепловая карта коммуникаций», который визуализирует интенсивность коммуникаций сотрудников или движения информации, при этом интенсивность коммуникаций в разрезе каналов кодируется цветом. Данный инструмент дает офицеру по безопасности возможность быстро оценить обстановку, увидеть потенциальные риски и «горячие точки». Используя этот инструмент, офицер по безопасности может построить графическую карту по интересующему его информационному объекту или персоне.
Рисунок 20. Отчет «Тепловая карта коммуникаций персон» в Solar Dozor 6.1
Выводы
Рынок DLP-систем в России и СНГ продолжает расти, и в новых экономических условиях проблематика угроз со стороны собственных сотрудников актуальна как никогда. Если еще несколько лет назад наблюдался некоторый паритет в направлениях развития основных отечественных игроков и местами слепое копирование функционала зрелых западных решений, то сегодня такие компании, как Solar Security, вырабатывают свое уникальное рыночное предложение, соответствующее ожиданиям российских заказчиков.
Так уж случилось, что некоторый функционал DLP-систем вызывает множество дискуссий, затрагивающих этические вопросы слежения за сотрудниками. Вследствие этого на протяжении долгого времени производители и клиенты делали упор на защиту данных от утечки, как бы сглаживая углы. Но реальность такова, что корпоративное мошенничество наносит гораздо более серьезный урон, нежели потеря информации. Solar Dozor 6.1 — это смелый шаг в рамках уже сложившейся индустрии и, по сути, единственное на рынке решение, оптимизированное для выявления корпоративного мошенничества и расследования инцидентов информационной безопасности.
Развитые аналитические возможности продукта позволяют копнуть гораздо глубже и выявить угрозы и косвенные признаки мошенничества, которые остались бы незамеченными при использовании классических DLP-систем. Solar Dozor может похвастаться продвинутым архивом, куда попадает весь перехваченный трафик, а поиск по нему занимает считанные секунды, что обеспечивает полноту запрошенной информации и экономию времени при проведении расследований.
Стоит отметить инновационную технологию выявлений аномалий в поведении пользователей «Индекс доверия», позволяющую детектировать отклонения в поведении сотрудников и на ранней стадии выявлять скрытые угрозы. В этом ключе очень перспективно выглядят возможности автоматического анализа уровня риска сотрудников, распределение их в группы риска, построение графов взаимосвязей и тепловых карт коммуникаций.
Solar Dozor служит наглядным примером того, как DLP-система трансформировалась из архива инцидентов с возможностью написания поисковых запросов в полномасштабное решение по выявлению признаков корпоративного мошенничества. Новая версия Solar Dozor эволюционирует в сторону BI-системы, которая помогает проводить глубокую аналитику инцидентов информационной безопасности и выявлять сложные мошеннические схемы на предприятии.
На момент написания обзора Solar Dozor является единственным российским DLP-решением, имеющим агентский модуль для ОС Linux, что является неоспоримым преимуществом для организаций, перешедших на СПО.
К недостаткам Solar Dozor можно отнести отсутствие контроля некоторых сетевых протоколов, например, IMAP, NNTP, P2P и протоколов IP-телефонии. Логично было бы добавить в систему функции контроля действий сотрудников на рабочих местах (время работы с программами, открытие веб-сайтов, файлов, записи видео или звука с микрофона).
