Разработчики: | Солар (ранее Ростелеком-Солар) |
Дата последнего релиза: | 2024/11/12 |
Технологии: | ИБ - Предотвращения утечек информации |
Основная статья: DLP - Data Loss / Leak Prevention - Технологии предотвращения утечек конфиденциальной информации
Решение Solar Dozor предназначено для контроля коммуникаций сотрудников, выявления ранних признаков корпоративного мошенничества и проведения расследований. Как классическая DLP-система, Solar Dozor решает задачи по мониторингу, фильтрации и анализу каждого сообщения на наличие конфиденциальной информации. Кроме этого, Solar Dozor осуществляет также накопление всей переписки сотрудников, что позволяет проводить в дальнейшем ретроспективный анализ и расследования на всем объеме сохраненных коммуникаций сотрудников.
2024
Solar Dozor 8.0 с интеллектуальными функциями автоматизации
12 ноября 2024 года ГК «Солар», архитектор комплексной кибербезопасности, представила обновленную версию DLP‑системы Solar Dozor, усиленную модулем расследований инцидентов Dozor Detective и универсальным плеером 4D, объединившим в едином окне все перехваты и события, связанные с нарушителем.
По информации компании, Solar Dozor — отечественная DLP-система корпоративного класса, применяемая организациями России и СНГ на протяжении двух десятков лет. Система способна обрабатывать до 600 млн сообщений в месяц для предотвращения утечек конфиденциальной информации, выявления признаков корпоративного мошенничества и превентивного обнаружения потенциальных угроз. Согласно данным ГК «Солар», за первые три квартала 2024 года по сравнению с аналогичным периодом 2023 года наблюдается прирост утечек информации на 35%.
В версии Solar Dozor 8.0 появился модуль Dozor Detective, который объединяет в себе ключевые инструменты для проведения внутренних расследований. Теперь сотрудники информационной, экономической, внутренней безопасности могут централизованно хранить и анализировать материалы по событиям, которые произошли как в цифровом периметре компании, так и за его пределами. Одно или несколько событий безопасности можно объединять в дела, с ограниченным к ним доступом. В дело можно добавлять материалы не только из DLP, но и из других систем: ЭДО, 1С, СКУД, систем видеонаблюдения. Инструментарий позволяет вести картотеку дел и поддерживать полный цикл процесса расследования по всем видам нарушений.Гид TAdviser по российским заводам компьютерной техники
Модуль поддерживает режим совместной работы над делом, что дает возможность занятым в расследовании специалистам распределенно выполнять задачи в ходе расследования. С помощью интерактивной доски офицеры безопасности могут визуально представить материалы расследования и определить неочевидные на первый взгляд связи между его участниками. Это позволяет всесторонне изучить все обстоятельства произошедшего события и составить целостную картину инцидента.
Dozor Detective автоматически формирует отчет, который содержит всю информацию по расследованию: выдвинутые версии, данные о нарушителях и обстоятельствах события, материалы доказательств, информацию о ходе и результатах расследования.
Еще одна функция — универсальный плеер 4D, который избавляет специалистов ИБ от необходимости собирать данные об активности сотрудника в разных зонах интерфейса, а результаты поиска записывать отдельно. Теперь все эти задачи можно решать в единой «информационной комнате». Плеер 4D консолидирует всю имеющуюся информацию о действиях персоны: события и инциденты, сообщения, медиаданные — снимки и записи экрана, аудиозаписи с микрофона рабочей станции. Все материалы представлены в хронологическом порядке и отображаются на временном графике. Функциональность позволяет офицеру безопасности определить все обстоятельства события, произошедшие до, во время и после него.
В версии Solar Dozor 8.0 появилась функция автоматического перевода речи в текст. Система с помощью нейросети распознает речь более чем на 50 языках, переводит ее в текст, после чего автоматически проверяет политиками безопасности, при необходимости регистрирует инциденты. Инструмент обеспечивает оперативное реагирование на угрозы в соответствии с установленными в компании политиками безопасности. Кроме того, текстовую расшифровку можно выгрузить и приобщить к делу, что сокращает время на оформление материалов расследования.
В данной версии Solar Dozor мы сделали основной акцент на автоматизации — для оптимизации процессов и сокращения трудозатрат офицеров информационной, экономической и внутренней безопасности. В связи с ростом событий ИБ и на фоне недостатка квалифицированных кадров в отрасли необходимо оптимизировать процессы работы с DLP‑системой и сводить к минимуму рутинные операции специалистов при проведения внутренних расследований. Для этого мы создали мультиинструментальный модуль Dozor Detective, который объединяет в себе несколько решений и позволяет вести расследования в DLP-системе — основном источнике информации об инцидентах, исключая доступ к чувствительной информации третьих лиц и не допуская риски компрометации данных. А универсальный плеер 4D снижает трудозатраты на установление обстоятельств инцидента. Кроме того, функция перевода звука в текст с использованием нейросетевых технологий позволяет офицеру ИБ быстро обрабатывать и проверять аудиозаписи политикой безопасности, избавляя от необходимости часами прослушивать и конспектировать записи. отметил Дмитрий Мешавкин, руководитель продукта Solar Dozor ГК «Солар» |
Агентская часть Solar Dozor также получила глобальное обновление. Был внедрен универсальный механизм перехвата сообщений и файлов в мессенджерах Telegram и WhatsApp, который не чувствителен к обновлениям протоколов. Теперь есть возможность блокировать отправку сообщений в WhatsApp и Telegram, если они содержат конфиденциальные сведения. Кроме того, реализована функция установки, обновления и удаления агентов Solar Dozor без необходимости перезагрузки рабочих станций.
Также в релизе 8.0. обеспечена поддержка совместимости ядра со свободно распространяемой операционной системой Debian 12, сертифицированной отечественной РЕД ОС 8, а также хранение данных Solar Dozor в современной СУБД PostgreSQL версии 15. На агентах добавлена поддержка ОС UBUNTU 22.04 с графической оболочкой WAYLAND, а также версии версия версии MacOS 15 Sequoia.
Solar Dozor — система предотвращения утечек данных и защиты от корпоративного мошенничества. Блокирует передачу конфиденциальных документов, помогает выявлять признаки корпоративного мошенничества, позволяет заниматься профилактикой инцидентов безопасности.
Совместимость с «Альт Рабочая станция» и «Альт Сервер» версии 10
ГК «Солар» и компания «Базальт СПО» успешно протестировали на совместимость свои продукты — DLP-систему Solar Dozor с ОС «Альт Рабочая станция» и «Альт Сервер» версии 10. По итогам проведенных работ подписан двусторонний сертификат совместимости. Об этом ГК «Солар» сообщила 28 июня 2024 года.
Совместимость Solar Dozor c «Альт Рабочая станция» и «Альт Сервер 10» дает возможность организациям строить и развивать свою ИТ-инфраструктуру на отечественных решениях. Теперь государственные и коммерческие организации различного профиля могут предотвращать и оперативно реагировать на инциденты, связанные с утечками информации и корпоративным мошенничеством, с помощью DLP-системы Solar Dozor в среде ОС «Альт».
В развитии Solar Dozor ГК «Солар» придерживается принципа исключения импортозависимых компонентов при разработке архитектуры ядра. Это упрощается тем, что серверная часть DLP-системы изначально спроектирована и работает под ОС Linux. При этом агентская часть продукта может работать в гетерогенной инфраструктуре за счет поддержки всех ОС – Windows, macOS и Linux, причем набор возможностей для последней аналогичен версии для Windows. Подтверждение совместимости с ОС «Альт», одной из самых популярных ОС семейства Linux в России, — важный шаг в развитии нашего продукта Solar Dozor, — отметил Дмитрий Мешавкин, руководитель продукта Solar Dozor ГК «Солар». |
Версия 7.12 с возможностью распознавания и блокировки передачи графических данных непосредственно на рабочих станциях сотрудников
ГК «Солар» представила дополнительную версию DLP-системы Solar Dozor с улучшенными инструментами контроля передачи графической информации и визуализацией маршрута движения документа. Об этом разработчик сообщил 14 мая 2024 года.
Версия 7.12 пополнилась актуальными функциями – появилась возможность распознавания и блокировки передачи графических данных непосредственно на рабочих станциях сотрудников. Это реализовано на базе технологии оптического распознавания символов (optical character recognition, OCR), которая извлекает текст из файлов основных распространённых графических форматов, таких как bmp, gif, jpg (включая jpeg, jpe, jfif), png, tif/ tiff, а также из изображений pdf-файлов. Анализ содержимого таких файлов теперь осуществляется сразу на агенте, что позволяет более оперативно реагировать на нарушения и блокировать попытки утечки через различные каналы, такие как буфер обмена, съемные носители, файловые хранилища.
Также в обновленном Solar Dozor была усовершенствована система защиты графических файлов от утечек без потери производительности. Технология распознавания графических объектов (банковских карт, паспортов, круглых и треугольных печатей) теперь может работать на серверах с графическими процессорами GPU. При использовании GPU среднее количество обрабатываемых изображений в секунду увеличилось с 0,1-3 до 55-135 по сравнению с центральным процессором CPU, что делает возможным использовать для обработки графических данных один сервер вместо нескольких. Это позволяет компаниям увеличить скорость работы DLP-системы, сохраняя высокий уровень производительности, а также сэкономить на инфраструктурных затратах.
Кроме того, в версии 7.12 для графических объектов добавлен еще один класс защиты: выявление технических чертежей, оформленных по ГОСТу. Эта функция будет важна для организаций, занимающихся проектированием, производством или научно-техническими разработками.
Данная функция визуализации маршрута документа позволяет отслеживать перемещение файлов от одного участника коммуникации к другому через различные каналы. Отчет в графическом виде отображает информацию об отправителях и получателях документа, а также реквизиты сообщений, съемных носителей, принтеров и сетевых ресурсов, связанных с обработкой документа в указанный период времени. Кроме того, отчёт подсвечивает события безопасности, связанные с искомым документом. Маршрут движения является важным инструментом для служб информационной, экономической и внутренней безопасности при проведении расследований инцидентов. Этот маршрут позволяет оперативно выявить участников переписки, источник распространения конфиденциальной информации и путь её утечки.
В рамках трека импортозамещения, Solar Dozor теперь поддерживает работу сервера и агентов на ОС Астра Linux 1.7 с включенным механизмом мандатного управления доступом, обеспечивая надежную работу в условиях повышенных требований к безопасности обработки конфиденциальной информации. Серверная и агентская части нашего продукта также совместимы с операционной системой Alt Linux 10, одной из наиболее популярных импортонезависимых ОС, – отметил Дмитрий Мешавкин, руководитель продукта Solar Dozor ГК «Солар». |
В обновленной версии также расширен список поддерживаемых российских коммуникационных сервисов и добавлена возможность контролировать обмен информацией через облачный почтовый сервис Яндекс 360.
Значительные изменения коснулись обеспечения безопасности использования продукта в ИТ-инфраструктуре. Так, усилена защита от несанкционированного доступа в систему: добавлена двухфакторная аутентификация и блокировка учетной записи после трех неудачных попыток ввода пароля.
В версии 7.12 продолжили планомерный перевод интерфейса на Angular: обновлены зоны «Пользователи» и «Информационные объекты».
Сертификация ФСТЭК России по четвертому уровню доверия
Программный комплекс Solar Dozor соответствует высокому уровню доверия, предъявляемому к средствам защиты информации в организациях, не обрабатывающих государственную тайну. Это подтвердилось в ходе очередной оценки соответствия Solar Dozor версии 7.9 требованиям ФСТЭК России по четвертому уровню доверия. Об этом разработчик системы сообщил 6 мая 2024 года.
Оценка соответствия подтвердила, что теперь и версия 7.9 может использоваться в системах обработки персональных данных (ИСПДн), в государственных информационных системах (ГИС), при защите значимых объектов критической информационной инфраструктуры (ЗОКИИ), в автоматизированных системах управления производственными и технологическими процессами (АСУ ТП) до 1 класса защищенности включительно, а также в информационных системах общего пользования II класса.
Сертификация ФСТЭК по четвертому уровню доверия на государственном уровне подтверждает безопасность использования DLP-системы Solar Dozor и дает возможность нашим заказчикам уверенно применять решение для предотвращения утечек конфиденциальной информации, выявления признаков корпоративного мошенничества и превентивного обнаружения потенциальных угроз. У нас выстроен процесс регулярного прохождения оценки соответствия требованиям ФСТЭК России для новых версий системы. Получение положительной оценки для версии 7.9 позволит соответствующим организациям использовать все изменения и новую функциональность продукта в полной мере, — сказал Илья Лушин, директор портфеля продуктов защиты данных ГК «Солар». |
Solar Dozor активно развивается, с каждой версией расширяя возможности для обеспечения безопасности конфиденциальных данных. В сертифицированной версии 7.9 реализована функциональность, дополняющая предыдущие версии Solar Dozor:
- Расширение возможностей агентских модулей под управлением ОС Windows и Linux.
- Поддержка расширенного списка отечественных СУБД и служб каталогов.
- Интеграция с популярными отечественными мессенджерами для мониторинга и контроля обмена сообщениями и данными в организации.
- Обогащение модуля UBA данными мессенджеров для более полной картины поведения сотрудников и выявления аномалий.
- Возможность настройки политик по персонам в соответствии с должностью, статусом сотрудника, а также уровнем рисков и многое другое.
Подтверждение соответствия требованиям технических нормативно-правовых актов Республики Белоруссия
Оперативно-аналитический центр при Президенте Республики Белоруссия выдал положительное заключение, подтверждающее соответствие DLP-системы Solar Dozor требованиям технических нормативно-правовых актов Республики Белоруссия. Об этом разработчик решения сообщил в феврале 2024 года. Это позволит ГК «Солар» расширить свое присутствие на территории Белоруссии и обеспечить комплексную защиту информации государственных информационных систем Республики.
На территории Республики Белоруссия действует национальное законодательство, в рамках которого предусмотрено национальное подтверждение соответствия. Все технологии и решения, попадающие на рынок Республики, помимо оформления документации на соответствие техническим регламентам таможенного союза, в обязательном порядке должны пройти процедуру оценки соответствия в национальной системе.
Для прохождения сертификации в испытательную лабораторию была передана седьмая версия Solar Dozor. Продукт успешно прошел все сертификационные испытания на соответствие требованиям Технического регламента Республики. В процессе испытаний не было предъявлено ни одного замечания к функциональным возможностям системы, также продукт полностью соответствует всем требованиям по безопасности информации, предъявляемым к средствам защиты от утечек.
Solar Dozor на протяжении многих лет внедряется на территории стран СНГ, например, таких как Казахстан, Узбекистан. Получение сертификата подтверждает, что Solar Dozor способствует эффективной защите конфиденциальной информации, в том числе, в государственном секторе, — не только в соответствии с российскими стандартами, но и в соответствии с ИБ-стандартами наших геополитических партнеров. Оценка качества в этом случае была максимально независимой, поскольку сертификация проводилась по требованиям другой страны. Разрабатываемый на февраль 2024 года Национальный стандарт РФ по организации процесса защиты информации от утечки с использованием DLP-систем позволит сформировать единые правила подтверждения эффективности процессов и технологий защиты от утечек и внутри российского рынка, — сказал Илья Лушин, руководитель продукта Solar Dozor ГК «Солар». |
Solar Dozor 7.11
ГК «Солар» выпустила обновленную версию Solar Dozor 7.11. Теперь в DLP-системе реализована возможность контроля информации, передаваемой через средства ВКС и мессенджеры, позволяющая предотвращать утечки данных во время их трансляции на экране. Также продукт дополнил ряд инструментов, среди которых перехват QR-кодов и интеграционный модуль. Об этом разработчик сообщил 15 января 2024 года.
Одним из самых распространенных каналов утечки информации является получение конфиденциальных данных с экрана монитора. Например, во время звонка по ВКС или в мессенджерах сотрудники организаций могут открывать на экране конфиденциальные документы и демонстрировать их содержимое. Данная версия Solar Dozor 7.11 позволяет контролировать эти каналы передачи данных и выявлять факты неправомерного разглашения конфиденциальной информации. Агент в соответствии с политикой создает снимки демонстрируемого контента, распознает их с помощью OCR (технологии автоматического анализа изображений и преобразования их в текст) и на основе результата распознавания осуществляет блокировку демонстрации.
В конце 2023 года мы наблюдали кратный рост квишинга – разновидности фишинга, когда для маскировки вредоносных ссылок используются QR-коды. Например, сотрудник получает письмо от коллеги или руководителя с просьбой перейти по QR-коду и после перехода по ссылке лишается доступа к системе, а злоумышленник получает доступ к корпоративному аккаунту для кражи данных. Кроме того, злоумышленники, используя специальные утилиты, могут преобразовать в QR-код конфиденциальную информацию для последующей скрытой её передачи третьим лицам. В Solar Dozor 7.11 мы добавили возможность распознавания QR-кодов, что позволяет получить контроль над данными, передаваемыми в трафике в QR-кодах, – сказал руководитель продукта Solar Dozor ГК «Солар» Илья Лушин. |
Еще одним изменением версии Solar Dozor 7.11 стал интеграционный модуль – MultiConnector. Он позволяет осуществлять интеграцию с используемыми у заказчика SIEM-, SOAR-, XDR-, IRP-системами для удаленного управления событиями, инцидентами и сообщениями, а также изменения их статуса, типа угрозы; осуществлять выгрузку событий или инцидентов и разблокировку заблокированного сообщения.
Начиная с версии 7.11, Solar Dozor обрабатывает в два раза больше изображений в секунду благодаря переходу на более эффективный движок распознавания графических объектов. При этом загрузка оперативной памяти сократилась вдвое, а нагрузка на процессор снизилась на 20%.
Ключевым трендом последних лет стало импортозамещение – уход зарубежных вендоров и перестройка цепочек поставок внесли существенные коррективы в процессы построения информационной безопасности организаций. Это предсказуемо привело к тому, что на рынке вырос спрос на отечественные операционные системы (ОС), прежде всего построенные на базе программного ядра Linux. В версии 7.11 осуществлена поддержка Linux-агентом последних ОС семейства Альт, в том числе сертифицированных версий Альт 8 СП, что гарантирует его совместимость с установленным СЗИ на сертифицированных версиях Альт 8 СП.
Несмотря на вышеперечисленные тенденции, использование техники Apple в России по-прежнему востребовано. Мы в свою очередь продолжаем защищать наших клиентов, развивая функционал macOS-агента – он «научился» записывать звук с микрофона рабочих станций пользователей. Это позволит офицерам безопасности расширить доказательную базу при проведении точечных расследований.
В DLP-системе Solar Dozor механизм работы «в разрыв» является одним из самых совершенных на рынке, и в данной версии 7.11 он продолжил свое развитие. В шаблонах реконструкции появилась возможность «добавить текст в начало сообщения», а также применять профили реконструкции при отправке сообщений из архива. Это позволяет сократить число инцидентов, связанных с утечками конфиденциальной информации, за счёт уведомления сотрудников, контрагентов и случайных получателей о конфиденциальном статусе информации, а также гибкой реконструкции при отправке сообщений, ранее заблокированных DLP-системой.
C точки зрения развития интерфейса – переводим на фреймворк Angular. Был усовершенствован раздел «Политика»: расширены возможности поиска, сортировки и отображения данных, появились новые подсказки, упростили работу с навигационным меню, увеличили число настроек по умолчанию.
2023
В составе ПАК для защиты служебной информации
Российские производители и разработчики представили совместный защищенный программно-аппаратный комплекс администратора информационной безопасности (ПАК ИБ). Он предназначен для защиты служебной информации и персональных данных в инфосистемах заказчиков. Об этом компания Fplus сообщила 10 ноября 2023 года. Ступенью кибербезопасности ПАК является DLP-система для предотвращения утечек конфиденциальной информации Solar Dozor. Подробнее здесь.
Solar Dozor 7.10
ГК «Солар» выпустила 2 октября 2023 года обновленную версию Solar Dozor 7.10. Теперь в системе предотвращения утечек данных реализованы возможности записи видео с экрана рабочих станций, контроля подключения к Wi-Fi-cетям, а также локального хранения событий и инцидентов в геораспределенных структурах.
Возможность записывать видео с экранов рабочих станций сотрудников позволяет офицерам безопасности получить дополнительный контекст как при расследовании инцидентов — проанализировать поведение сотрудника в динамике и расширить доказательную базу, — так и при работе с персоналом «на особом контроле». Особенностью доработки является то, что на анализ отправляется не только видеозапись, но и запущенные на рабочей станции процессы, заголовки открытых окон и URL. При этом поддерживается запись одновременно до четырех подключенных мониторов, а не только одного активного окна.
Реализация возможности гибкого управления подключениями сотрудников к беспроводным сетям позволяет полностью разрешить или запретить использование Wi-Fi-cетей, а также задавать «черные» и «белые» списки беспроводных подключений. Все эти опции доступны на уровне как сетей (SSID), так и отдельных точек доступа (BSSID). Данный функционал позволяет офицерам информационной безопасности выявлять и блокировать неавторизованные точки доступа и предотвращать риски утечки критической информации.
Удаленно управлять политикой безопасности Solar Dozor, находясь в консоли XDR-, SIEM-, IRP- или SOAR-системы, помогает внешний API. Данная разработка позволяет создавать, редактировать, просматривать, удалять списки слов и применять обновленную политику DLP-системы, даже не заходя в консоль Solar Dozor.
Отвечая на вызовы времени, мы предлагаем рынку импортонезависимые продукты, а также продолжаем расширять их функциональные возможности. Так, в версии 7.10 реализована поддержка LDAP-сервера ALD Pro, обеспечена совместимость с СУБД PostgreSQL версии 12, а Linux-агент системы может разворачиваться на устройствах под управлением операционных систем AlterOS 7.5 и Альт Линукс 8СП. Одним из векторов развития нашей DLP-системы Solar Dozor является постоянное расширение функциональных возможностей агентской части решения. В частности, в версии 7.10 модуль Dozor Endpoint Agent для Linux теперь способен осуществить запись звука с микрофона рабочей станции, что приближает его к функциональному паритету с Windows-агентом, сказал руководитель продукта Solar Dozor ГК «Солар» Илья Лушин.
|
Расшились возможности модуля централизованного хранения данных MultiDozor. Теперь пользователи могут хранить данные событий и инцидентов не только в базе головной организации, но и в локальных базах данных филиалов, дочерних зависимых обществ и других структурных подразделений. Это позволит гарантировать сохранность банковской тайны, выполнить требования регуляторов и внутренней нормативной документации.
Пользовательский интерфейс Solar Dozor продолжил планомерный переход на быстрый и технологичный фреймворк. В обновленной версии изменения коснулись разделов «Политика» и «Справочники». Так, например, теперь правила и условия политики можно удобно перемещать в любое место страницы с помощью функции «drag and drop», расширены функциональные возможности поиска, добавлены подсказки, появился удобный счетчик слов, устройств и пометок, который экономит время администратору безопасности при настройке шаблона документа.
Интеграция с СУБД Jatoba
Компании «Газинформсервис» и ГК «РТК-Солар» завершили серию испытаний на совместимость продуктов собственной разработки. В результате технической интеграции был реализован многопользовательский доступ к расположенному в Solar Dozor архиву с разным уровнем конфиденциальности. Об этом сообщили представители «Газинформсервиса» 14 августа 2023 года.
Производительный и безопасный архив ИБ-событий является важной частью DLP-cистемы Solar Dozor. В продукте реализованы механизмы оперативного и долгосрочного хранения информации, которые позволяют проводить расследования инцидентов на любом отрезке времени. По задумке партнеров, интеграция с СУБД Jatoba позволит повысить надежность, производительность и улучшить масштабируемость DLP-системы Solar Dozor. Это поможет офицерам безопасности эффективнее работать с системой и оперативнее проводить расследования.
«Информационная безопасность – как пазл, каждые части которого образуют общую структуру защищенного контура. DLP Solar Dozor месте с защищенной СУБД Jatoba образуют безопасное решение для защиты инфраструктуры», – прокомментировал результаты тестирования Константин Семенчук, менеджер по продукту СУБД Jatoba. |
«Комплексный подход в вопросах интеграции DLP-систем и СУБД позволяет закрыть не только актуальную на данный момент тему импортозамещения, но и является экономически выгодным решением для наших клиентов – позволяет оптимизировать бюджет, сохраняя при этом высокий уровень информационной защищенности организации. Техническая интеграция наших решений повысит производительность многоуровневых систем кибербезопасности и поможет офицерам безопасности эффективнее проводить расследования», – отметил Руслан Добрынин, менеджер по развитию бизнеса Solar Dozor. |
Оба продукта сертифицированы ФСТЭК России и включены в реестр отечественного ПО Минцифры России, что делает связку Solar Dozor – Jatoba оптимальным решением для компаний, замещающих иностранные ИТ-решения на отечественные.
Solar Dozor 7.9
25 апреля 2023 года компания «Ростелеком-Солар» представила обновленную версию системы предотвращения утечек информации Solar Dozor 7.9. В обновлении появилась возможность создавать иерархию групп рабочих станций, развертывать Linux-агент на рабочих станциях через веб-интерфейс Solar Dozor, контролировать передачу данных через VK Teams, eXpress и Airdrop, передавать события и инциденты из Solar Dozor в различные SIEM-системы в режиме реального времени и ряд других опций.
По информации компании, в Solar Dozor 7.9 оптимизированы функции управления endpoint-агентами. Так, оптимизировалось управление группами рабочих станций. В предыдущих версиях нельзя было создать подгруппы рабочих станций – все группы находились на одном уровне иерархии. Теперь такая возможность появилась, и она будет особенно востребована крупными мультифилиальными компаниями с разветвленной структурой групп рабочих станций.
Начиная с версии 7.9, Linux-агент Solar Dozor можно развертывать с помощью веб-интерфейса DLP-системы. Ранее установка проводилась только посредством shell-скрипта. Теперь же в веб-интерфейсе можно запускать процесс развертывания агента и всех необходимых пакетов на рабочих станциях, управлять дистрибутивами агента и наборами этих дистрибутивов, учетными записями пользователей с правами на установку Linux-агента. Реализация этой функции оптимизирует процесс массовой установки агента на компьютерах пользователей, особенно для крупных компаний с большим парком рабочих мест на базе Linux и для тех, кому предстоит перейти на эту ОС.
В модуле Dozor Endpoint Agent для Windows разработан, не зависящий от протокола механизм перехвата сообщений, передаваемых в WhatsApp Desktop, обеспечивающий более надежный по сравнению с предыдущей реализацией перехват. Перехватываются данные, передаваемые окну приложения (мессенджера), которое сотрудник использует на своей рабочей станции. Кроме того, в обновленной версии Solar Dozor существенно расширен набор контролируемых каналов передачи данных. В частности, на рабочих станциях под управлением macOS обеспечивается перехват и блокировка передачи файлов через AirDrop. Осуществляется перехват файлов (документов и изображений), передаваемых с помощью AirDrop с рабочего стола компьютера пользователя, из файлового менеджера Finder или напрямую из приложений, а также блокировка передачи файлов через AirDrop при соответствующей настройке политики.
Также взята под контроль коммуникация в отечественных мессенджерах VK Teams и eXpress. Отправляемые сотрудниками через эти мессенджеры сообщения и файлы перехватываются системой Solar Dozor и проходят проверку в соответствии с условиями политики безопасности организации. Теперь офицер безопасности может найти и просмотреть переписку сотрудника в VK Teams и eXpress, сообщения в групповом чате eXpress и список участников чата, настроить политику безопасности с учетом перехвата сообщений и файлов в eXpress и VK Teams. Изменение значимо снижает риск утечки конфиденциальных данных из компаний.
Вопрос контроля передачи информации в мессенджерах на апрель 2023 года весьма актуален — это очень важный канал коммуникаций, который по интенсивности общения не уступает корпоративной почте, а в части передачи чувствительной информации даже и превосходит ее. Сотрудники компаний пользуются для обмена информацией и корпоративными – теперь преимущественно отечественными, и публичными мессенджерами, а значит, риски утечек конфиденциальных данных существуют в обоих случаях, и такие коммуникации обязательно нужно контролировать. подчеркнул Илья Лушин, руководитель продукта Solar Dozor компании «Ростелеком-Солар» |
Досье сотрудников в Solar Dozor 7.9 может пополняться данными из дополнительного источника: реализована поддержка LDAP-сервера со свободной лицензией и открытым программным кодом – FreeIPA (389 Directory Server). Помимо сведений о сотрудниках, из этого источника также можно получить список рабочих станций (например, для установки на них агентов).
Также в версии 7.9 расширены интеграционные возможности DLP-системы. В интерфейсе реализована настройка передачи событий и инцидентов из Solar Dozor в различные SIEM-решения в режиме реального времени с помощью выгрузки необходимых данных в syslog – журнал, который поддерживается большинством SIEM-систем. Это позволяет пользователям централизованно обрабатывать события безопасности сразу из нескольких систем.
Пользователи Solar Dozor 7.9 заметят некоторые обновления интерфейса системы. Так, раздел Перехватчики был разделен на разделы Endpoint Agents и File Crawler. В каждый из разделов добавлены возможности навигации, поиска, настройки отображения элементов. В разделе Поиск переработан интерфейс форм запроса для быстрого и расширенного поисков, а также для шаблонов. Расширены возможности использования быстрого поиска по беседам и работы с результатами поиска.
И, наконец, разработчики обновленной версии уделили внимание оптимизации контроля за работоспособностью системы. В Solar Dozor версии 7.9 появились триггеры, позволяющие оперативно контролировать: отсутствие входящего трафика от Dozor Traffic Analyzer, истечение срока действия пароля учетной записи для синхронизации с AD, недоступность мастер-узла и подчиненных узлов кластера, имеющих сервис Досье. Теперь администратор системы может использовать больше инструментов для анализа текущего состояния и работоспособности Solar Dozor.
Совместимость с защищенным корпоративным мессенджером EXpress
В рамках стратегии обеспечения безопасности корпоративных коммуникаций специалисты российской платформы eXpress и «Ростелеком-Солар», разработчика DLP-системы Solar Dozor, выпустили официальный сертификат совместимости двух продуктов. Перед этим интеграцию неоднократно протестировали в испытаниях и нескольких крупных проектах. Об этом 21 февраля 2023 года сообщили в компании «Ростелеком-Солар».
Контроль информации в корпоративных мессенджерах – одна из ключевых возможностей Solar Dozor. С помощью востребованной функции офицеры ИБ российских компаний предотвращают утечки конфиденциальной информации через мессенджеры и проводят расследования инцидентов безопасности.
Чтобы в условиях импортозамещения повысить уровень защиты данных от внутренних инцидентов, в Solar Dozor была добавлена функция мониторинга платформы коммуникаций и мобильности eXpress. Теперь компании подтвердили возможность двусторонним сертификатом совместимости.
В своих продуктах компания планомерно следует путем импортозамещения, обеспечивая совместимость со все большим набором российских операционных систем и технологий передачи данных. В арсенале возможностей Solar Dozor - мониторинг набора наиболее распространенных в корпоративной среде мессенджеров, таких как WhatsApp, Telegram, Skype, Cisco Webex Teams, MS Lync, Viber. Теперь к ним добавился eXpress, отметил Илья Лушин, руководитель продукта Solar Dozor «Ростелеком-Солар».
|
Оба продукта входят в единый реестр отечественного ПО и сертифицированы ФСТЭК России. Это говорит о том, что Solar Dozor и eXpress соответствуют высоким требованиям безопасности. Корректную работу в результате интеграции решений подтверждает официальный сертификат совместимости.
Интеграция eXpress с продуктами "Ростелеком-Солар" – это возможность для компаний комплексно подойти к вопросу обеспечения необходимого уровня защиты данных в организации. Не просто внедрить разрозненные продукты, а объединить их в единую инфраструктуру, прокомментировал Андрей Врацкий, CEO eXpress.
|
Совместимость Solar Dozor 7.8 с ОС Astra Linux Special Edition 1.7
12 января 2023 года ГК «Астра» сообщила о том, что совместно с разработчиком системы защиты от утечек информации (DLP) «Ростелеком-Солар» завершили серию тестов работоспособности ПО Solar Dozor 7.8 в среде ОС Astra Linux Special Edition 1.7, в том числе с установленным кумулятивным оперативным обновлением безопасности «Бюллетень № 2022-0819SE17». Результаты исследований подтвердили, что программные продукты совместимы, и решение было сертифицировано в рамках программы технологической кооперации ИТ-производителей Ready for Astra Linux (сертификат № 9647/2022).
DLP-система Solar Dozor блокирует передачу конфиденциальных документов за пределы организации, помогает выявлять признаки корпоративного мошенничества и позволяет обеспечить профилактику инцидентов безопасности. Набор ее возможностей включает контроль основных каналов утечек с помощью анализа сетевого трафика и агентов на рабочих станциях, поисковый механизм с активным режимом работы для контроля локальных и облачных хранилищ, инструменты для анализа поведения пользователей, позволяющие предупреждать инциденты и противодействовать инсайдерам, функцию территориально распределенного режима работы, ретроспективный анализ почтового архива для выявления утечек в трафике, накопленном до начала использования DLP-системы. Среди ключевых особенностей решения вендор выделяет простоту и удобство в использовании, высокую производительность, наличие полнофункционального агента для всех известных платформ, включая Astra Linux, поддержку технологии VDI и фокус на человеке: система концентрируется не на движении информации, а на сотрудниках, их связях и поведении.
Solar Dozor включен в «Единый реестр российских программ для электронных вычислительных машин и баз данных» Минцифры и сертифицирован ФСТЭК России на соответствие требованиям безопасности информации по 4-му уровню доверия и технических условий ТУ 5014-003-17764670-2019.
Импортозамещение в 2023 году идет в российских организациях полным ходом. Поэтому компания считает своей задачей помочь компаниям, мигрирующим на отечественные операционные системы, сделать это максимально безопасно, обеспечив совместимость с данными ОС широкого пула решений безопасности, разрабатываемых компании. Компания помогает заказчикам быстро и просто развернуть необходимую каждой организации систему защиты от утечек, теперь и в среде ОС Astra Linux Special Edition 1.7, отметил Алексей Кубарев, руководитель отдела развития бизнеса центра продуктов Dozor ООО «Ростелеком-Солар».
|
С появлением различных киберугроз многие организации сталкиваются с утечкой информации. Как и коллеги по отрасли, компания постоянно мониторит ситуацию с возникающими уязвимостями и возможностями для кибератак и быстро адаптирует свое ПО к меняющимся обстоятельствам. Однако, чтобы качественно защитить ИТ-инфраструктуры клиентов, вендорам необходимо не просто реализовывать какие-то собственные доработки, а объединять экспертизу и делать так, чтобы после обновления продуктовые стеки продолжали корректно и стабильно работать. Компания благодарна коллегам из «Ростелеком-Солар» за оперативное и слаженное взаимодействие в части тестирования и обеспечения совместимости софта. Эта эффективная кооперация дает уверенность, что совместные решения справляются с задачей защиты ИТ-систем и данных, прокомментировал Дмитрий Тараканов, руководитель департамента развития технологического сотрудничества ГК «Астра
|
2022
Совместимость Solar Dozor 7.8 с "Ред ОС"
Российские разработчики «РТК-Солар» и «РЕД СОФТ» 13 декабря 2022 года объявили о совместимости последней версии системы предотвращения утечек информации Solar Dozor 7.8 с операционной системой РЕД ОС. Подтверждена совместимость с данной отечественной операционной системой как агентской, так и серверной части DLP-решения производства «РТК-Солар». Тестирование проведено в рамках планомерного расширения «РТК-Солар» возможностей своих ИБ-решений в направлении импортозамещения.
В 2022 году импортозамещение в России по сути стало обязательным; многие заказчики в срочном порядке переходят на отечественные решения, включая различные операционные системы. Реализуя совместимость наших продуктов по кибербезопасности с российскими ОС, мы помогаем нашим заказчикам оперативно внедрить у себя такие необходимые российским организациям средства защиты от актуальных угроз, – отметил Алексей Кубарев, руководитель отдела развития бизнеса Центра продуктов Dozor «РТК-Солар». |
Расширение совместимости последних версий программного обеспечения с российскими Linux-платформами является актуальной задачей, об оперативном решении которой очень часто говорят в ИТ-среде. Полноценная работоспособность обновления системы Solar Dozor 7.8 в экосистеме РЕД ОС доказывает, что разработчики идут в верном направлении и настроены позитивно в вопросах создания импортонезависимого техностека, – рассказал заместитель генерального директора РЕД СОФТ Рустам Рустамов. |
Solar Dozor 7.8
Компания «РТК-Солар» сообщила 2 декабря о выпуске следующей версии системы предотвращения утечек информации Solar Dozor 7.8. В обновлении реализованы изменения в политике модуля Dozor Endpoint Agent, в модуль UBA добавлен источник данных – мессенджеры, расширена совместимость с отечественным ПО, улучшена производительность технологии распознавания графических объектов.
Ключевым нововведением версии 7.8 стали изменения в логике работы политики, применяемой в модуле контроля действий сотрудников на рабочих станциях Dozor Endpoint Agent. Теперь правила политики можно применять не только к рабочим станциям, как это было ранее, но и к конкретным пользователям или группам пользователей компании. Это значительно повысит качество работы политики безопасности DLP-системы и гибкость ее применения, а также упростит настройку и обслуживание.
В этой версии было сделано значимое для продукта изменение в правилах политики endpoint-агента по многочисленным просьбам пользователей Solar Dozor. Обновленные правила политики позволят заказчикам более эффективно управлять правами пользователей на контролируемых рабочих станциях, а значит, – снизить риск преднамеренных либо случайных утечек информации, отметил Илья Лушин, руководитель продукта Solar Dozor компании «РТК-Солар».
|
В целом, функциональность endpoint-агента в обновленной версии была серьезно расширена. В частности, MacOS-агент обрел возможности перехвата нажатий клавиш с клавиатуры рабочих станций (кейлогер), снятия снимков с экрана. Реализован контроль копирования файлов на съемные носители и сетевые диски, а также контроль данных в буфере обмена. А в Linux-агенте появился перехват почты по протоколу EWS для отечественного почтового клиента Evolution, который повсеместно внедряется на рабочих станциях под управлением Linux.
Кроме того, модуль анализа поведения пользователей Dozor UBA теперь работает с еще одним источником данных – мессенджерами, в дополнение к ранее анализируемой информации из электронной почты. Различные сервисы мгновенного обмена сообщениями являются одним из наиболее востребованных каналов – активно используются сотрудниками для решения оперативных вопросов и обмена рабочей информацией. Теперь модуль Dozor UBA будет получать информацию из переписки сотрудников в мессенджерах с агентов на рабочих станциях, что существенно повысит объективность поведенческого анализа и качество работы паттернов поведения (комбинаций поведенческих особенностей и аномалий). Таким образом пользователи Solar Dozor будут видеть более полную картину поведения сотрудников.
Отвечая на вызовы времени, Solar Dozor планомерно расширяет свои возможности в направлении импортозамещения. Так, в версии 7.8 реализована работа системы на отечественных операционных системах РЕД ОС 7.3, Astra Linux SE 1.7 «Смоленск», обеспечена совместимость с системой мониторинга Zabbix версий 5.0 и 5.4, а также с браузерами Yandex и Atom на Windows-платформе.
Большой объем изменений коснулся и пользовательского интерфейса Solar Dozor. Так, был осуществлен переход на быстрый фреймворк Angular, который позволил реализовать обновленную логику работы с карточкой сообщения. Теперь вся информация о перехваченной активности сотрудника доступна в одной карточке сообщения без лишних кликов и переходов. Кроме того, в интерфейсе был улучшен пользовательский опыт работы со списками событий и инцидентов: повысилась скорость загрузки списков, реализовано сохранение позиционирования событий в списках. Так, ранее при переводе события в статус инцидента или удаления из списка какого-либо инцидента список откатывался к первоначальной версии, что затрудняло работу пользователей. В обновленной версии Solar Dozor изменения в списках сохраняются, а также можно настроить ширину и отображение столбцов при работе со списками.
Также разработчики 7.8 поработали над улучшением производительности технологии распознавания графических объектов. Ранее используемая в DLP-системе модель распознавания графических объектов обеспечивала недостаточную точность определения некоторых графических объектов и была довольно ресурсоемкой. Поэтому разработчики, проведя соответствующие исследования, заменили ее на более актуальную модель искусственной нейронной сети. В результате среднее потребление памяти (RAM avg) снижено примерно на 45%, а точность распознавания графических объектов выросла до 98% (!) Для пользователей DLP-системы это означает снижение риска утечки конфиденциальной информации ввиду более точного распознавание графических объектов, содержащих ключевую информацию.
Одним из основных векторов развития DLP-системы Solar Dozor является максимальная автоматизация рутинных процессов пользователей. В данной версии реализована функция автоматического развертывания модуля Dozor Endpoint Agent на рабочих станциях, вновь добавленных в группы Active Directory (AD). При добавлении станции в группу AD она автоматически добавится и в соответствующую контролируемую группу станций в Solar Dozor. Затем будет произведена автоматическая установка агента на рабочую станцию, а в случае, если она выключена, можно запустить установку по расписанию. Данная функция значительно облегчит пользователям Solar Dozor процесс установки агентов на большое число рабочих станций.
Как анализ поведения пользователей предотвращает инциденты в фармкомпаниях
С недавних пор в отдельных DLP-системах, например, в Solar Dozor, появилась возможность анализа поведения пользователей. В данном случае это отдельный модуль, который формирует профили сотрудников, определяет их типичное поведение и выявляет отклонения. О том, как модуль Dozor UBA помогает предотвратить самые разнообразные корпоративные инциденты, рассказывает Виталий Петросян, аналитик внедрения Центра продуктов Solar Dozor компании «РТК-Солар». Подробнее здесь.
Solar Dozor 7.7
25 мая 2022 года компания «РТК-Солар» сообщила о выпуске обновления системы предотвращения утечек информации Solar Dozor 7.7. В данной версии оптимизирована производительность работы системы в территориально распределенном режиме, скорость фильтрации трафика, реализован контроль содержимого файлов в iCalendar – рабочем календаре сотрудников.
По информации компании, начиная с версии 7.2, DLP-система Solar Dozor может работать в территориально распределенном режиме. На май 2022 года система является единственным решением на рынке, поддерживающим все известные варианты реализации ИТ-инфраструктуры крупных компаний: централизованное размещение серверов обработки данных в головном офисе, локально в каждом филиале и комбинированный вариант размещения. В обновленной версии Solar Dozor 7.7 на локальных веб-серверах реализована возможность скачивания файлов и использования функций быстрого поиска внутри филиала, без дополнительного обращения к общим ресурсам головного офиса. Таким образом снижена нагрузка на каналы связи при передаче данных и производительность работы системы в территориально-распределенном режиме.
Еще один шаг в данной версии сделан в сторону совершенствования политики фильтрации. В решении появилась дополнительная проверка результатов анализа конфиденциальной информации методом регулярных выражений по алгоритму Луна, форматам номеров документов государственного образца, номеров телефонов и пр. Это позволяет ощутимо оптимизировать скорость работы политики, в результате увеличивается скорость фильтрации трафика и снижается нагрузка на офицера ИБ по настройке политики и процент ложноположительных срабатываний.
Одним из недостатков современных DLP-систем до последнего времени являлось отсутствие функции распаковки файлов .ics – событий из рабочего календаря сотрудников, представленных в формате iCalendar. Соответственно, любые файлы, вложенные в эти события, не контролировались, что создавало риски утечки конфиденциальных данных компании. Поэтому в Solar Dozor 7.7 был реализован механизм распаковывания .ics-файлов, визуализации вложения и применения к ним условий политики фильтрации.
Это не самый очевидный канал возможной утечки конфиденциальной информации из компании и тем он опаснее. В своей практике мы часто наблюдаем случаи пересылки подобных сообщений с вложениями из iCalendar за периметр организации, в частности, в компаниях финансовой сферы. Также мы получили немало запросов от заказчиков на решение этой проблемы, поэтому реализовали эту функциональность в обновленной версии. отмечает Илья Лушин, руководитель продукта Solar Dozor компании «РТК-Солар» |
Кроме того, в обновлении оптимизировано отображение атрибутов событий календаря в структуре и в тексте сообщения: выводятся основные востребованные пользователями DLP-системы данные – описание события, время, место, сведения об участниках и организаторе.
Ряд возможностей в Solar Dozor 7.7 появился и у endpoint-агента DLP-системы. Так, в версиях Dozor Enpoint Agent для ОС Windows и Linux реализован перехват веб-версии мессенджера Telegram. Теперь обмен сообщениями и файлами в Telegram контролируется при его использовании как в виде приложения, установленного на компьютере, так и при работе в браузере. Также Linux-агент Solar Dozor теперь поддерживает последние версии отечественных и open-source операционных систем, что делает агент востребованным в рамках импортозамещения. Список поддерживаемых отечественных ОС пополнился Astra Linux 1.7 (Орел, Смоленск, Воронеж), РедОС 7.3, ОС в открытым исходным кодом – CentOS 8, Debian 11, Linux Mint 20.3.
Dozor Enpoint Agent для macOS также обрел функциональность контроля подключения USB-устройств – флеш-накопителей и внешних жестких дисков. В обновленной версии реализована поддержка агентом платформы Apple M1, что предоставляет возможность работы агента на mac-устройствах с другой архитектурой. Кроме того, теперь администратор DLP-системы сможет в скрытом режиме развернуть mac-агенты на рабочих станциях посредством решения для корпоративной мобильности AirWatch EMM.
Помимо дополнительных функций в Solar Dozor 7.7 сделан ряд изменений, направленных на удобство использования продукта. В частности, в предыдущих версиях системы глубина сбора информации из архива локальных почтовых ящиков сотрудников Microsoft Outlook составляла не более 14 дней с момента активации перехвата на endpoint-агенте. Однако практика показала, что заказчикам нужен гибкий подход к вопросу глубины сбора данных – кому-то достаточно периода в 1 неделю, а кто-то хочет анализировать информацию не менее чем за месяц. Поэтому теперь в Solar Dozor 7.7 администратор DLP-системы может самостоятельно настроить любой нужный период сбора данных из почтовых ящиков сотрудников.
Сертифицикация ФСТЭК России Solar Dozor 7
Разработка «Ростелеком-Солар» – программный комплекс для предотвращения утечек информации Solar Dozor 7 сертифицирован ФСТЭК России на соответствие требованиям по безопасности информации по 4-му уровню доверия и техническим условиям. Об этом 8 февраля 2022 года сообщили в «Ростелеком-Солар».
Полученный продуктом сертификат соответствия удостоверяет, что Solar Dozor 7 является программным средством защиты от неправомерной передачи из информационной системы информации, не содержащей сведений, составляющих гостайну.
«Данный сертификат подтверждает безопасность системы предотвращения утечек информации Solar Dozor – заказчики могут быть уверены в том, что для защиты своих ценных информационных активов они используют проверенное решение. Это в особенности значимо для государственных органов власти, организаций - объектов критической информационной инфраструктуры, а также для компаний любых других сфер экономики, владеющих критичной для бизнеса конфиденциальной информацией. При этом важно понимать, что на российском рынке пока нет специальных требований к сертификации DLP-систем. Поэтому Solar Dozor прошел сертификацию регулятора в полном объеме по общим требованиям доверия, в отличие от большинства конкурирующих решений, которые сертифицированы лишь по узким требованиям к отдельным функциям DLP-систем, например к средствам контроля съемных машинных носителей», отметил Алексей Кубарев, руководитель отдела развития бизнеса Центра продуктов Dozor компании «Ростелеком-Солар» |
Сертификация всех 10-ти модулей DLP-системы Solar Dozor 7 длилась 1,5 года. Программный комплекс прошел полный цикл предусмотренных регулятором экспертиз и испытаний, по результатам которых испытательная лаборатория АО «Лаборатория ППШ» и орган по сертификации АО «НПО Эшелон» выдали заключение об успешном прохождении сертификации.
Средства защиты информации, соответствующие 4 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 1 категории, в государственных информационных системах 1 класса защищенности, автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных, а также в информационных системах общего пользования II класса. Solar Dozor — российская система для предотвращения утечек конфиденциальной информации. Ее возможности обеспечивают контроль коммуникаций сотрудников, блокировку или изменение нежелательных сообщений, выявление и мониторинг групп риска, а также ретроспективный анализ архива коммуникаций для проведения расследований. Также Solar Dozor может анализировать поведение пользователей (User Behavior Analytics), что позволяет выявлять аномалии поведения, круг общения и приватные контакты сотрудников, а также профилировать их на основе устойчивых паттернов поведения.
Solar Dozor 7.6
25 января 2022 года компания «Ростелеком-Солар» представила обновленную версию системы предотвращения утечек информации Solar Dozor 7.6 Ключевым изменением стала реализованная в Endpoint-агенте для macOS возможность блокировки печати конфиденциальных документов. Кроме того, в Solar Dozor 7.6 появилась функциональность мониторинга поступления трафика из внешних систем по протоколу ICAP при их интеграции с DLP-решением.
По информации компании, начиная с версии 7.6, Solar Dozor позволяет контролировать на компьютерах на базе macOS печать документов, применяя к ним правила политики безопасности. Осуществляется перехват данных, отправляемых на локальные, сетевые и виртуальные принтеры, а также блокирование операции печати. Так, например, можно заблокировать печать документа, содержащего паспортные данные или любой другой вид конфиденциальной информации. На января 2022 года Dozor Endpoint Agent для macOS – единственный на российском рынке endpoint-агент для рабочих станций на базе ОС от Apple, в котором реализована блокировка печати конфиденциальной информации.
Ноутбуки на базе macOS составляют существенную часть компьютерного парка многих российских компаний, в особенности работающих в сфере дизайна, медиа, ритейла и др. При этом контроль рабочих станций под управлением ОС от Apple на отечественном рынке обеспечивают лишь единицы DLP-систем. Теперь наши заказчики-пользователи macOS могут не просто фиксировать факт утечки конфиденциальной информации через печать с MacBook, но и активно предотвращать такие инциденты. подчеркнула Галина Рябова, директор Центра продуктов Dozor компании «Ростелеком-Солар» |
Разработчики Solar Dozor 7.6 дополнили продукт функцией отслеживания поступления и обработки ICAP-трафика от различных внешних систем. Это позволяет пользователю DLP-системы, не копаясь в лог-файлах и не анализируя технические заголовки, быстро увидеть, поступает ли ICAP-трафик от той или иной системы, обрабатывается ли он, и делается ли это корректно.
Важной частью решения задачи мониторинга поступления данных от внешних систем стала функция идентификации трафика, которая позволяет определить, от какой именно системы поступают конкретные сообщения. Благодаря этому можно выявить и устранить проблемы с трафиком от внешних систем.
В целом, в обновленной версии Solar Dozor разработчики сделали различные обновления, связанные с контролем рабочих станций сотрудников. Так, стало удобнее контролировать доступ к различным USB-устройствам на рабочих станциях – флеш-накопителям, подключаемым веб-камерам и др. Теперь можно запретить или, наоборот, разрешить использование USB-устройств конкретной модели и производителя. Это оптимизирует время работы с большими массивами USB-устройств по сравнению с необходимостью их настройки по полному списку по всей компании.
Также пользователи Solar Dozor 7.6 могут в скрытом режиме удаленно развертывать агенты мониторинга рабочих станций на macOS через облачную службу управления корпоративной мобильностью (EMM). Это кроссплатформенное решение для управления мобильными устройствами, ПК и установленными на них приложениями используют многие заказчики, что и послужило причиной реализации этой функции. Кроме того, в рамках релиза Solar Dozor 7.6 разработчики добавили поддержку ОС macOS 12 Monterey.
В Solar Dozor 7.6 появилась функция записи звука с микрофона рабочей станции с возможностью ее прослушивания в режиме, приближенном к реальному времени. Сотрудник службы безопасности может начать прослушивать запись через 1-2 минуты после ее запуска. Также можно настроить срок хранения записей для их последующего использования. Эта функциональность помогает специалисту по безопасности осуществлять проверку при возникновении подозрений на нарушение со стороны сотрудника, поэтому она востребована заказчиками для сбора доказательной базы при проведении расследований.
2021
Solar Dozor 7.5
28 сентября 2021 года компания «Ростелеком-Солар» выпустила обновленную версию DLP-системы Solar Dozor 7.5.
Рабочие станции персонала – один из ключевых объектов мониторинга для DLP-систем, поэтому в данной версии мы сделали шаг в развитии нашего endpoint-агента. Теперь в арсенале Solar Dozor – агенты для мониторинга рабочих станций под управлением всех трех операционных систем. Кроме того, вслед за развитием технологий коммуникаций мы планомерно расширяем количество контролируемых каналов, уделяем внимание набирающим популярность мессенджерам, как частным, так и корпоративным. Продолжаем развивать и модуль анализа поведения пользователей Dozor UBA – в обновленной версии дополнили модуль детализированными отчетами. За 2020 год многие наши клиенты накопили достаточный опыт практического применения этого инструмента и делятся с нами идеями по его развитию. |
По информации компании, в российских компаниях на рабочих станциях под управлением macOS работает в среднем от 5% до 50% сотрудников в зависимости от специфики деятельности организации. Это и руководство, чьи ноутбуки содержат ключевую финансово-экономическую информацию и стратегию развития бизнеса. И ИТ-специалисты – разработчики, архитекторы, дизайнеры UI/UX, владеющие конфиденциальной технической информацией, базами данных, стратегией развития ИТ-продуктов и услуг компании. И специалисты других направлений – дизайнеры, маркетологи, работающие с договорами, конкурсной документацией, базами данных клиентов, информацией о рыночном развитии продуктов и услуг и т.п. Утечка подобных сведений оборачивается весьма печальными последствиями для бизнеса.
С целью защиты чувствительных данных компаний на рабочих станциях под управлением macOS, в состав обновления DLP-системы Solar Dozor 7.5 вошел модуль Dozor Endpoint Agent for macOS, в дополнение к ранее реализованным Window и Linux-агентам. На сентябрь 2021 года это единственный на российском рынке macOS-агент, контролирующий веб-ресурсы, данные в мессенджерах и локальную почту на компьютерах производства Apple. В частности, система осуществляет перехват данных, передаваемых через каналы HTTPS (поисковые запросы, сообщения в веб-почте, соцсетях), переписки и отправляемых документов в Skype и WhatsApp (desktop и web), а также перехват сообщений и файлов, пересылаемых через почтовые клиенты по протоколам SMTP, POP3, IMAP. Агент можно установить на рабочие станции как с помощью графического инсталлятора, если регламенты компании требуют ручной установки, так и в автоматическом режиме, используя специальные средства развертывания.
В Solar Dozor версии 7.5 появилась возможность контролировать еще один канал обмена информацией – корпоративный мессенджер Cisco Webex Teams. Теперь с помощью функциональности модуля Dozor File Crawler можно настроить систему так, что все сообщения и файлы, отправленные сотрудниками в личных или общих чатах Cisco Webex Teams, будут поступать в Solar Dozor и проходить проверку по условиям политики безопасности организации. При этом доступна история Webex-сообщений, отправленных сотрудниками даже до того, как в компании был установлен Solar Dozor 7.5.
Система сможет проанализировать всю переписку сотрудников, историю изменений Webex-сообщений (исходные, отредактированные и удаленные версии), а также предоставить статистику по сообщениям (количество переданных сообщений и документов за все время или за последние 24 часа).
Анализ поведения пользователей (UBA) – технология, позволяющая выявлять ранние признаки корпоративного мошенничества, зарождение коррупционных схем, предпосылки к возникновению утечек информации и т.п. В обновленной версии Solar Dozor 7.5 появилась возможность получить сведения о поведении сотрудников в виде отчета в формате PDF. Специалисты служб ИБ смогут быстрее выявлять отклонения и опасные тенденции в поведении персонала, а также оперативно предоставлять руководству необходимую отчетность.
Теперь пользователь системы может сформировать отчет, содержащий сведения о поведении сотрудников, относящихся к одному из 20-ти паттернов («работа ночью», «поиск работы», «мертвые души» и т.п.). В отчете отобразятся особые контакты сотрудников, индекс уязвимости, количество событий безопасности и аномалий в поведении. Можно также сформировать отчет и по конкретному сотруднику за период 45 дней. В него войдут как общие сведения о работнике, так и история поведенческих особенностей: динамика индекса уязвимости, внутренней и внешней активности, отправки и получения информационных объектов, все аномалии поведения, список особых контактов – рабочая и приватная эго-сети, неизвестные контакты.
Разработчики Solar Dozor 7.5 уделили много внимания и модулю Dozor Endpoint Agent для Windows. В частности, в данной версии можно настроить контроль печати на принтере и операций с буфером обмена для заданного списка приложений. Такой сфокусированный контроль уменьшает нагрузку на рабочие станции и минимизирует конфликты с ПО, в мониторинге которого нет необходимости.
Кроме того, в Solar Dozor 7.5 можно с помощью модуля Dozor Endpoint Agent заблокировать передачу защищенных паролем или поврежденных архивов. Это позволяет предотвратить утечку конфиденциальных данных в зашифрованных архивах по всем многочисленным каналам, контролируемым агентами на рабочих станциях пользователей. Поддерживаются наиболее распространенные форматы архивов: ZIP (.zip), RAR4, RAR5 (.rar), 7-zip (.7z), ARJ.
Ключевой информацией для принятия решения об установке endpoint-агента на ту или иную конечную точку является ФИО сотрудника с привязкой к рабочей станции . Раньше эту информацию можно было получить в интерфейсе Solar Dozor только после установки полнофункционального endpoint-агента. Начиная с версии 7.5, ФИО сотрудника, вошедшего на рабочую станцию, отображается сразу после установки на нее «легкого» средства развертывания (Updater). Эти сведения позволяют быстро узнать, какие рабочие устройства официально закреплены за конкретным сотрудником, и установить на них агент.
Solar Dozor 7.4
24 июня 2021 года компания «Ростелеком-Солар» сообщила о выпуске обновленной версии программного продукта Solar Dozor 7.4. Релиз посвящен реализации модулей анализа поведения пользователей (Dozor UBA) и мониторинга хранения конфиденциальной информации (Dozor File Crawler) в территориально-распределенной конфигурации – для компаний с разветвленной филиальной сетью.
Естественный процесс монополизации и укрупнения бизнеса с 2020 года ускорился под влиянием пандемии: для многих компаний вхождение в состав более крупного и устойчивого к кризисным явлениям игрока стало хорошей бизнес-стратегией. Для холдингов же выгодные с точки зрения повышения эффективности бизнеса M&A сделки сопровождаются рисками безопасности, связанными с вливанием в компанию структуры с другими бизнес-процессами, с другой корпоративной культурой, со сложностями интеграции сотрудников. Для групп компаний и организаций с присоединенными структурами на первый план выходит необходимость централизованного контролируемого решения задач безопасности в разнородной иерархической территориально-распределенной структуре. Для таких организаций всегда актуальны 3 группы задач: контроль безопасности в целом (сквозные аналитические инструменты мониторинга и проведения расследований), централизация экспертных функций (например, экспертной аналитики или администрирования системы), контроль подразделений безопасности со стороны центра. Именно поэтому в данном релизе мы уделили внимание реализации работы ключевых аналитических модулей системы в мультифилиальном режиме. отметила Галина Рябова, директор центра продуктов Dozor компании «Ростелеком-Солар» |
По информации компании, практика использования крупными российскими компаниями модуля анализа поведения пользователей Dozor UBA, выпущенного «Ростелеком-Солар» в конце 2019 года, показала: наиболее эффективно применять результаты анализа можно при установке модуля отдельно в каждом территориальном подразделении. В предыдущих версиях Solar Dozor UBA-модуль устанавливался на общие ресурсы и предоставлял лишь усредненную обобщенную информацию поведения пользователей по компании в целом.
В обновленной версии, с одной стороны, все установки модуля Dozor UBA в каждом филиале объединены в связанную систему, что позволяет получить полный срез данных о поведении пользователей по всей организации. С другой стороны, через единый веб-интерфейс Solar Dozor можно выбрать любое территориальное подразделение и перейти к сводной статистике и детализации не только по конкретному филиалу, но и по любому его пользователю. Сводная статистика по филиалу учитывает наиболее значимые факторы риска: опасные и подозрительные тенденции в территориальном подразделении, наличие персон с серьезными отклонениями в поведении и их прирост за неделю. Также доступна информация о характерных для персонала данного филиала паттернах поведения, аномалиях поведения, особых контактах сотрудников, их суточной активности и т.п.
Для каждого филиала появилась возможность установить часовой пояс, что позволяет обеспечить точность анализа суточной активности его сотрудников (утро, день, вечер, ночь), расчета паттернов поведения «Работа ночью» и «Работа в выходные дни». При работе с паттернами поведения пользователей можно переключаться между территориальными подразделениями, анализируя различия в паттернах от филиала к филиалу.
В Solar Dozor 7.4. нашла отражение и практика применения мультифилиальными компаниями модуля мониторинга хранения данных Dozor File Crawler. В предшествующих версиях отсутствовало соотнесение узлов распределенной сети, для проверки которых использовался модуль, с филиалами, в которых находятся эти узлы. В таком режиме было сложно управлять задачами модуля и использовать карту сети. Для запуска задачи нужно было указать конкретный узел, а данные об инспектировании всех узлов сети образовывали одну огромную карту, в которой было сложно ориентироваться.
Теперь каждая задача сканирования сети в момент её создания автоматически привязывается к соответствующему территориальному подразделению, и все дальнейшие настройки задачи, выбор элементов карты сети производятся в привязке к конкретному филиалу. Ресурсы каждого территориального подразделения отображаются в отдельной ветке в зависимости от инсталляции Dozor File Crawler, с помощью которой было выполнено сканирование. Также при предоставлении работающим с системой специалистам прав доступа к данным филиала осуществляется разграничение доступа к задачам сканирования и веткам карты сети. Все эти изменения помогут ИБ-специалистам крупных организаций сэкономить время на управлении модулем мониторинга хранения конфиденциальной информации и эффективнее использовать результаты аудита сети.
Кроме того, в данной версии появился ряд дополнительных механизмов защиты конфиденциальных данных от утечек. В частности, Solar Dozor 7.4 позволяет транслировать видео с экрана рабочей станции сотрудника в режиме реального времени. Данный инструмент востребован заказчиками для сбора доказательной базы при проведении расследований.
Также система осуществляет считывание структуры каталогов съемных носителей информации (флеш-накопителей, карт памяти и внешних жестких дисков), подключаемых через USB-порт к рабочим станциям сотрудников компании. Это дает офицерам безопасности возможность просматривать содержимое съемных устройств – структуру папок и название файлов – для выявления попыток копирования конфиденциальных документов.
В крупных компаниях рутинная работа по сбору данных о событиях и инцидентах безопасности делегируется младшим специалистам службы ИБ. В более ранних версиях DLP-системы Solar Dozor руководитель мог лишь поделиться с подчиненным копией поискового запроса. Начиная с версии 7.4, офицер безопасности может предоставлять младшим ИБ-специалистам доступ на выполнение созданных им поисковых запросов: исполнитель сможет выполнять запросы, просматривать их параметры и результат выполнения без возможности внести изменения в запрос. Гибкая настройка доступа к данным системы для сотрудников младшего звена позволит снизить риск утечки ценных сведений.
Для оптимизации удобства использования DLP-системы в обновленной версии разработан механизм оперативного отключения агентского модуля. При конфликтах со сторонним ПО можно временно деактивировать агент нажатием одной кнопки, не удаляя его с рабочей станции. При этом все настройки сохраняются и при обратной активации агента нет необходимости снова его настраивать.
Включение в ГИСП
Министерство промышленности и торговли РФ на базе Государственной информационной системы промышленности (ГИСП) составило перечень решений, которые рекомендованы к применению органам власти и коммерческим предприятиям России для организации процессов удаленной работы. В категории «Информационная безопасность» в него вошли такие продукты «Ростелеком-Солар», как система предотвращения утечек информации Solar Dozor, система автоматизированного управления правами доступа Solar inRights, шлюз веб-безопасности Solar webProxy. Об этом разработчик сообщил 9 февраля 2021 года.
Соответствие продуктов «Ростелеком-Солар» требованиям, предъявляемым к обеспечению безопасного процесса удаленной работы, подтвердил Проектный комитет ГИСП. В его состав вошли ведущие эксперты АНО «Цифровая экономика», Фонда развития интернет-инициатив, Ассоциации разработчиков программных продуктов «Отечественный софт» и Ассоциации участников рынка интернета вещей.
Инициатива реализована в рамках государственной программы «Развития промышленности и повышения ее конкурентоспособности», целью которой является создание в России конкурентоспособной, устойчивой, структурно сбалансированной промышленности, — отмечает Михаил Адоньев, директор по стратегическим проектам компании «Ростелеком-Солар». — Наряду с другими направлениями стимулирования промышленного развития Минпромторг России оказывает активную информационную поддержку предприятий на портале ГИСП. Созданный реестр решений для организации удаленной работы облегчит компаниям выбор продуктов для поддержания непрерывности бизнес-процессов в условиях удаленной работы. |
Представленные в реестре решения «Ростелеком-Солар» обеспечивают информационную безопасность удаленного управления процессами с помощью инструментов дистанционного мониторинга, что позволяет сократить риски физического присутствия на объектах. Например, DLP-система Solar Dozor предназначена для защиты информационных активов и позволяет блокировать утечки информации, осуществлять контроль каналов коммуникаций сотрудников и выявлять признаки корпоративного мошенничества. Другое решение «Ростелеком-Солар» — Solar inRights — помогает выстроить на предприятии процедуры исполнения политик и регламентов безопасности в области управления правами доступа. Для контроля доступа сотрудников и приложений к веб-страницам, защиты веб-трафика от вредоносных программ и навязчивой рекламы Минпромторг рекомендует шлюз веб-безопасности Solar webProxy.
2020
Solar Dozor 7.3
3 декабря 2020 года компания «Ростелеком-Солар» сообщила, что обновила свою флагманскую DLP-систему Solar Dozor до версии 7.3. В обновлении представлена технология глубокого обучения на основе нейронных сетей Faster RCNN. Она позволяет контролировать передачу критичных данных в графических форматах – изображениях, сканированных копиях, фотографиях и т.п. Кроме того, важным шагом стала реализация в Solar Dozor 7.3 контроля переписки сотрудников в desktop-версии мессенджера Telegram.
По информации компании, наиболее значимым изменением в Solar Dozor 7.3 стало появление инструмента политики безопасности «Графический шаблон», который контролирует передачу критичных данных в графических форматах. С помощью этого инструмента DLP-система распознает в изображениях такие объекты, как паспортные данные граждан РФ, печати организаций, лицевую и оборотную стороны платежных карт.
Для распознавания графических объектов в решении используется специализированная технология глубокого обучения на основе нейронных сетей Faster RCNN (region-based convolutional neural networks). Скорость работы технологии практически не зависит от размера изображения. Объекты распознаются с учетом различных деформаций – растяжения, поворота, наложения на другие объекты, а также при полном отсутствии текстовой составляющей. Возможности Faster RCNN по эффективности распознавания конфиденциальных данных в графических объектах значительно превосходят традиционно применяемые в DLP-системах технологии OCR, детектирования печатей и прочие.
Утечки конфиденциальных данных в различных графических форматах – сканах документов, изображениях и т.п. – весьма распространенное явление. В графическом виде часто утекают паспортные данные граждан, данные банковских карт, имеющие на ноябрь 2020 года ликвидность на черном рынке. В то же время используемые во многих DLP-системах классические инструменты выявления конфиденциальной информации в «графике», вроде технологий OCR, детекторов печатей, паспортов и тому подобных, до сих пор решали эту задачу с переменным успехом. Их эффективность сильно зависит от качества анализируемого изображения и серьезно снижается, если пересылается искаженный объект – растянутый, искривленный, в низком разрешении и т.п. Впервые примененная нами технология глубокого обучения на основе нейронных сетей Faster RCNN способна выявить попытки слива критичных данных даже в сильно деформированных объектах. отметила Галина Рябова, директор Центра продуктов Solar Dozor компании «Ростелеком-Солар» |
Версия Solar Dozor 7.3 сделала большой шаг вперед и в направлении расширения списка контролируемых каналов передачи данных. Теперь с помощью модуля Dozor Endpoint Agent, установленного на рабочих станциях корпоративной сети, можно контролировать переписку сотрудников в desktop-версии мессенджера Telegram и отправку файлов в облачные хранилища с помощью desktop-приложений Яндекс.Диск и Google Drive. Кроме того, в данной версии появились механизмы, которые позволяют распознавать в сообщениях и именах файлов текст, написанный транслитом и (или) содержащий опечатки, и преобразовывать его в корректный текст. Таким образом специалисты по безопасности смогут контролировать передачу текста, который намеренно или случайно был искажен с помощью транслита и (или) опечаток.
Ряд важных изменений был сделан и в одном из ключевых модулей системы – Dozor UBA. Модуль анализа поведения пользователей в версии 7.3 расширил свою функциональность, позволяющую минимизировать риск утечки данных при увольнении сотрудников. Для этого в интерфейсе системы в разделе «Анализ поведения» появился виджет «Признаки увольнения». Кликнув на виджет, офицер безопасности мгновенно получает список сотрудников, в поведении которых присутствуют признаки подготовки к увольнению.
Критерии, по которым система выявляет работников, готовящихся к увольнению, были сформированы в результате практических исследований и наблюдений за поведением уходящих из компаний сотрудников. К таким критериям относится постепенное падение внешней и внутренней активности, оптимизация или сокращение сотрудником рабочего графика, появление уникальных контактов в коммуникациях, передача нехарактерных для сотрудника информационных активов и ряд других.
Также в Dozor UBA добавлены классы аномалий поведения «Новый неизвестный контакт» и «Новый информационный объект», используемые в том числе и при выявлении увольняющихся сотрудников. Например, эти аномалии будут зафиксированы в поведении сотрудника, который вдруг начал собирать не имеющие отношения к его работе документы компании и пересылать их на неизвестную системе электронную почту. Такое поведение встречается среди сотрудников, принявших решение уйти из компании и решивших повысить свою привлекательность на рынке труда за счет бывшего работодателя.
Для повышения удобства использования системы в Solar Dozor 7.3 был полностью переработан и дополнен критериями фильтр результатов быстрого поиска. Теперь он доступен по нажатию кнопки в отдельном окне, где критерии фильтрации сгруппированы так, чтобы офицер безопасности мог применить к конкретной поисковой выборке критерии из одной или сразу из нескольких групп.
Фильтр помогает быстро находить нужные данные в уже сформированной поисковой выборке, что сэкономит время на обнаружение утечек и расследование инцидентов.
Кроме того, модуль Dozor Endpoint Agent в обновленной версии DLP-системы собирает диагностическую информацию с рабочих станций корпоративной сети, что позволяет сократить время на разбор и устранение проблем и сбоев в работе агента на конечных точках.
Dozor Endpoint Agent Linux 2.6
Компания «Ростелеком-Солар», 24 сентября 2020 года сообщила о выходе очередной версии модуля контроля рабочих станций Dozor Endpoint Agent Linux 2.6. Данный агент для Linux обладает аналогичным Windows-версии набором возможностей, а также является многофункциональным endpoint-решением на базе ОС Linux на российском рынке.
Согласно приказу Минкомсвязи России №96 от 01.04.2015 «Об утверждении плана импортозамещения программного обеспечения», к 2025 году доля отечественных операционных систем (ОС) в государственных организациях должна составить не менее 50%. Существующие и создаваемые в России ОС реализованы на базе свободно распространяемых дистрибутивов GNU/Linux, которые большинство рыночных систем предотвращения утечек информации (DLP) поддерживают лишь ограниченным набором возможностей. Выход Dozor Endpoint Agent Linux 2.6 призван восполнить функциональные пробелы доступных отечественным заказчикам Linux-версий систем мониторинга рабочих станций пользователей.
Данная версия агента контролирует печать документов на принтере, их копирование в буфер обмена, сохранение данных на USB-устройства, нажатие клавиш на клавиатуре, а также активность пользователей и отдельных приложений на рабочей станции. При необходимости модуль может работать в режиме активного противодействия: запрещать копирование файлов на съемные носители и сетевые диски, блокировать буфер обмена, отправку информации через браузеры, в том числе в облачные хранилища. Кроме того, Dozor Endpoint Agent Linux 2.6 позволяет мониторить действия сотрудника, делая снимки рабочего стола при нажатии пользователем определенных клавиш или через заданные промежутки времени.
Dozor Endpoint Agent Linux 2.6 поддерживает следующий список Linux-платформ:
- Astra Linux SE 1.5 и 1.6 «Смоленск»
- Astra Linux CE 2.12 «Орёл»
- CentOS 7
- Ubuntu 18.04 LTS
- Ред ОС 7.2 «Муром»
- Гослинукс ИК6
Совместимость с платформами Astra Linux и Ред ОС подтверждена соответствующими сертификатами.
Следует отметить, что версию Linux-агента 2.6 можно также использовать и для контроля работы пользователей на терминальных серверах под управлением ОС Циркон 36СТ.
Мы считаем поддержку отечественных операционных систем на базе Linux значимой составляющей технологического развития программных продуктов семейства Solar Dozor. Российский рынок информационной безопасности ведет системную работу по обеспечению готовности государственных компаний к импортозамещению. «Ростелеком-Солар» со своей стороны стремится помочь компаниям госсектора максимально легко перейти на российские разработки, обеспечив совместимость своих технологий с Linux-системами. Выпуск полнофункционального Linux-агента является существенным шагом в этом направлении, – отметила Галина Рябова, директор Центра продуктов Solar Dozor компании «Ростелеком-Солар». |
Solar Dozor 7.2
28 мая 2020 года компания «Ростелеком-Солар» сообщила о выпуске обновленной версии DLP-системы Solar Dozor 7.2. Функциональность решения была расширена за счет модуля MultiDozor, который позволяет связывать все филиальные инсталляции Solar Dozor в единую систему с управлением из центра. MultiDozor ориентирован, в первую очередь, на крупный территориально распределенный бизнес и на органы государственной власти с их разветвленной структурой. С его помощью эти организации смогут быстрее и результативнее решать задачи внутренней безопасности.
В «Ростелеком-Солар» считают, что одной из основных проблем внутренней безопасности крупных предприятий с территориально-распределенной сетью подразделений является отсутствие видения общей ситуации и контроля безопасности в компании в целом. Все филиалы по сути являются единой организацией с едиными стандартами и политиками безопасности, однако DLP-система устанавливается отдельно в каждом из подразделений и, соответственно, осуществляет мониторинг по каждому филиалу в отдельности.
Со слов разработчика, модуль MultiDozor позволяет в режиме реального времени анализировать и обрабатывать данные о событиях внутренней безопасности как по компании в целом, так и по каждому из подразделений. В результате сотрудники службы ИБ головного офиса могут проводить сквозные расследования инцидентов в масштабе всей компании вне зависимости от степени децентрализации ИТ-инфраструктуры и пропускной способности каналов предприятия. Модуль предоставляет возможность вести централизованный мониторинг групп особого контроля с помощью единого досье с сотрудниками всех территориальных подразделений. В целом, в MultiDozor доступен такой же набор аналитических срезов данных, что и в филиальных инсталляциях Solar Dozor. А возможность создания единой для всей компании политики с настройкой изменений под каждый филиал отличает представленное решение от других DLP-систем.
Гибкая настройка прав в модуле позволяет сохранить за представителями ИБ-служб на местах такие базовые функции, как, например, начальный уровень разбора событий безопасности, техническое обслуживание системы и т.п. Для решения более высокоуровневых задач – глубокого расследования инцидентов и проч. – возможно привлечение экспертов, территориально располагающихся в центральном офисе. Данная функциональность направлена на решение проблемы нехватки кадров и недостаточного уровня компетенций в ИТ и ИБ-подразделениях филиалов, подчеркнули в «Ростелеком-Солар».
«Для нас реализация этого модуля представляла собой определенный технологический вызов. Позиции DLP-системы Solar Dozor традиционно сильны в сегменте крупных предприятий, где выдвигаются высокие требования к отказоустойчивости систем. Обеспечить же бесперебойную работу территориально распределенной системы по всей стране с учетом возможной нестабильности каналов связи на местах, сохранив весь набор ее функциональности, – это серьезная задача», |
В обновленной версии Solar Dozor 7.2 также получила развитие функциональности модуля анализа поведения пользователей Dozor UBA. Внесённые изменения являются естественным результатом практического применения модуля в компаниях разного масштаба и направлены на повышение удобства работы ИБ-специалистов с системой. В частности, при просмотре диаграмм динамики внутренней и внешней активности сотрудника можно перейти к связанным с ними сообщениям. Это позволяет оперативно выявить аномалии и инциденты безопасности и начать расследование. Стало проще получать из диаграмм данные о динамике активности сотрудника по отдельным интересующим ИБ-специалиста срезам. Так, на основе полученной от заказчиков обратной связи был переработан интерфейс вкладок «Активность» и «Популярность». Данные стали отображаться компактнее – для оценки поведения сотрудника нужна минимальная прокрутка содержимого окна, что ускоряет визуальный анализ, утверждают в «Ростелеком-Солар».
На диаграммах внутренней, внешней активности и популярности сотрудника появилась возможность двигать период, за который отображаются данные. Это позволяет в динамике оценить изменение поведения человека, выявить нарастающие негативные тенденции. Диаграммы были дополнены визуальными элементами, ускоряющими обнаружение значимых аномалий в поведении. А появившаяся возможность применять к диаграммам фильтры позволяет ИБ-специалисту сфокусироваться на интересующем его контенте в переписке сотрудника. В целом, благодаря доработанному интерфейсу вкладок в модуле Dozor UBA, пользователю доступен для просмотра большой объем данных на одном экране.
Совместимость с Ред ОС
13 января 2019 года компания RedSoft сообщила, что система предотвращения утечек конфиденциальной информации Solar Dozor успешно прошла тестирование на совместимость с российской операционной системой семейства Linux РЕД ОС. По итогам проведенных работ «Ростелеком-Солар» и РЕД СОФТ подписали двусторонний сертификат совместимости.
Мы рассматриваем технологическое сотрудничество с разработчиками ПО как одну из основ успешного развития бизнеса в сфере ИТ. На российском рынке информационной безопасности ведется системная работа по обеспечению готовности государственных компаний к импортозамещению. «Ростелеком-Солар» со своей стороны стремится помочь данным компаниям в части более легкого и беспроблемного перехода на российские разработки, обеспечив максимальную совместимость своих технологий с отечественными системами других классов. Совместимость нашего флагманского продукта Solar Dozor с отечественной РЕД ОС – один из существенных шагов в данном направлении, отметила Галина Рябова, директор Центра продуктов Solar Dozor компании «Ростелеком-Солар»
|
Использование системы Solar Dozor в среде операционной системы РЕД ОС позволит клиенту обеспечить высокий уровень информационной безопасности своих процессов. Совместно с партнерами рады предоставить еще одно импортонезависимое решение, прокомментировал Рустамов Рустам, заместитель генерального директора РЕД СОФТ
|
2019
Solar Dozor 7
8 октября 2019 года компания «Ростелеком-Солар» объявила о выходе на рынок DLP-системы Solar Dozor 7 с интегрированным модулем продвинутого анализа поведения пользователей Solar Dozor UBA. Система решает широкий круг задач безопасности, выходящих за рамки защиты от утечек, и позволяет с помощью автоматизированного анализа выявлять ранние признаки нарушений со стороны сотрудников компании.
По информации компании, Solar Dozor 7 – система защиты от утечек следующего поколения, основанная на передовой концепции People-Centric Security. Эта концепция подразумевает переход службы информационной безопасности от мониторинга сотен и тысяч уведомлений об инцидентах с данными к анализу поведения сотрудников и выявлению отклонений в поведении.
В состав Solar Dozor 7 вошел модуль глубокого анализа поведения пользователей (UBA – User Behavior Analysis). Модуль позволяет автоматически выявлять в поведении сотрудников компании аномалии, которые могут свидетельствовать о ранних признаках корпоративного мошенничества, зарождении коррупционных схем, предпосылках к возникновению утечек информации и т.п. Это дает возможность службам безопасности работать с рисками превентивно, используя автоматизированные инструменты анализа.
На октябрь 2019 года мы четко видим два тренда в развитии DLP-систем. С одной стороны, возможности систем защиты от утечек вышли за рамки задач, лежащих исключительно в сфере информационной безопасности. Они становятся эффективным инструментом снижения рисков в сфере экономической, собственной, кадровой безопасности компаний. С другой стороны, и сама информационная безопасность расширяет свой взгляд на мир, переходит от анализа событий и данных к стратегии безопасности с фокусом на человеке. рассказала Галина Рябова, директор центра развития продуктов Solar Dozor «Ростелеком-Солар» |
Методы анализа модуля Solar Dozor UBA основаны наалгоритмах класса unsupervised machine learning (обучение без учителя), не требующих предварительной настройки и адаптации системы под условия эксплуатации. Система анализирует поведение сотрудников по двум направлениям одновременно. С одной стороны, осуществляется наблюдение за каждым сотрудником по набору показателей, которые измеряются с высокой частотой и с учетом персональных особенностей поведения, делового контекста, роли в коллективе и ряда других факторов. Накопленной в течение 2-х месяцев истории активности пользователя достаточно для того, чтобы определить его устойчивое поведение и начать детектировать аномалии его поведения. Такие цифры получены в ходе апробации технологии Solar Dozor UBA на ряде компаний масштабом от 1000 сотрудников.
С другой стороны, модуль Solar Dozor UBA определяет наиболее уязвимые с точки зрения бизнеса группы сотрудников и сотрудников с подозрительным поведением, относя их к различным паттернам поведения (комбинациям поведенческих особенностей и аномалий). На октябрь 2019 года в системе насчитывается порядка 20-ти паттернов, среди которых: «мертвые души», сотрудники с аномалиями внешних коммуникаций, с наличием теневых личных контактов (т.н. приватных эго-сетей) и др. По каждому из паттернов ведется постоянный контроль опасных тенденций, приближенный к реальному времени.
Собираемая с помощью UBA-модуля информация существенно обогатила модуль Досье DLP-системы Solar Dozor 7. Теперь он сосредотачивает в себе максимально полную информацию о персоне (сотруднике, группе сотрудников и других участниках коммуникаций) и вместе с быстрым сквозным поиском и настроенными срезами данных является оптимальной средой для проведения расследований, не имеющей аналогов в других DLP-системах. Здесь же стало доступным и профилирование персонала по показателям использования рабочего времени.
Solar Dozor 6.8
28 мая 2019 года компания Ростелеком-Solar сообщила, что выпустила обновленную версию DLP-системы Solar Dozor. Ее ключевыми усовершенствованиями стали полностью обновленный агент для контроля рабочих станций, контроль коммуникаций в Viber, защита конфиденциальной конструкторской документации и поддержка ICAP-трафика от различных прокси-серверов.
По информации компании, при создании данной версии Solar Dozor в фокусе внимания разработчиков находилась задача по доработке модуля Dozor Endpoint Agent, предназначенного для контроля активности сотрудников на рабочих станциях. В частности, был серьезно улучшен механизм перехвата по протоколам HTTP/HTTPS, SMTP, POP3 и IMAP, повышена стабильность и скорость работы модуля. Список контролируемых каналов коммуникаций пополнился мессенджером Viber.
Кроме того, с целью освоения технологий виртуализации, на май 2019 года широко используемых в современной IT-инфраструктуре, в Dozor Endpoint Agent реализована поддержка «золотого образа» Citrix VDI, позволяющая устанавливать агент на виртуальные машины вместе с пакетом стандартного офисного ПО (Microsoft Office, 1С и т.д.).
В стратегии развития DLP-системы Solar Dozor нашими приоритетами являются не только наращивание количества функций, но и глубина их проработки. |
Важным шагом вперед стала реализация обработки ICAP-трафика от различных прокси-серверов в режиме реального времени. К данным, переданным по протоколу ICAP, могут быть применены те же правила, что и к сообщениям по другим каналам. В частности, в политике появилось специальное действие «Заблокировать ICAP», которое позволяет запретить как отправку данных на веб-ресурсы, так и скачивание с них. Кроме того, получила более глубокое развитие интеграция Solar Dozor с модулем контроля веб-трафика Dozor Web Proxy. Теперь офицер безопасности может вести единое досье на сотрудника, группу сотрудников или контрагента: все изменения, сделанные в Dozor Web Proxy, будут отражены в Solar Dozor, и наоборот.
Версия Solar Dozor 6.8 обладает специализированной возможностью автоматически определять файлы инженерных пакетов CAD-систем и извлекать из них текстовую информацию (данные чертежей, схем, спецификаций, моделей и т.п.). Поддерживаются форматы DWG, STL, STEP, ADEM CAD, M3D и др.
Значительное развитие в данной версии получила интеграция с Microsoft Active Directory (AD). Теперь офицер безопасности может получить доступ в систему без использования логина и пароля — применяются данные, введенные при входе в ОС. Для аутентификации используется протокол Kerberos.
Чтобы было проще визуально отличить друг от друга импортированные из AD данные персон, в обновленной версии появились индикаторы Organizational Unit и Security group, помогающие при поиске объектов системы, настройке политики и других ситуациях, когда требуется знать тип группы, в которой состоит персона. Кроме того, теперь возможна загрузка данных о персоне из нескольких AD, что важно, например, для компаний, находящихся в процессе слияния или поглощения другими организациями. При этом исключается дублирование учетных записей — дубликаты автоматически объединяются в одну карточку.
С целью повышения скорости реагирования на инциденты в Solar Dozor 6.8 были доработаны возможности поиска. Так, событие или инцидент теперь можно найти по его номеру (идентификатору). Кроме того, в Solar Dozor существуют два режима поиска объектов – быстрый и расширенный. Однако в некоторых случаях может понадобиться быстрый поиск по тексту сообщения с возможностью выбора сложных атрибутов, как в расширенном. В данной версии такая возможность появилась, что позволит точнее и быстрее находить нужную информацию.
Также улучшен контроль действий пользователей: теперь в журнале действий пользователей отображается максимально детализированная информация, в том числе IP-адреса устройств, действия с объектами политики, ролями пользователей и системными справочниками.
Модуль Solar Dozor Web Proxy 3.0
12 февраля 2019 года компания «Ростелеком-Solar» объявила о выходе очередной версии модуля DLP-системы Solar Dozor для контроля веб-трафика — Dozor Web Proxy 3.0. Все изменения, начиная с обновленного графического интерфейса и заканчивая автоматической синхронизацией досье сотрудника в модуле Dozor Web Proxy и DLP-системе Solar Dozor, со слов разработчика, призваны упростить и ускорить работу ИБ-специалистов. Согласно заявлению компании, выход Dozor Web Proxy 3.0. является первым шагом на пути к выделению модуля в самостоятельное продуктовое направление «Ростелеком-Solar».
В Dozor Web Proxy 3.0 представлен обновленный интерфейс управления правилами политики безопасности, логика работы с которыми была полностью изменена. В представленной версии правила политики безопасности группируются в слои (наборы правил), каждый из которых выполняет определенные задачи: исключения аутентификации, вскрытие HTTPS, перенаправление по ICAP, а также фильтрацию запросов и ответов. Слои отображаются в интерфейсе в том порядке, в котором Dozor Web Proxy 3.0 обрабатывает правила политики. Такой подход позволяет офицеру безопасности удобнее и быстрее настраивать правила, утверждает разработчик.
Как отметили в «Ростелеком-Solar», работать с политиками безопасности стало проще благодаря изменению визуального представления правил с древовидного на табличное. Кроме того, элементы политики безопасности, которые используются для формирования правил, сгруппированы в соответствии с частотой их использования при настройке.
«При разработке Dozor Web Proxy 3.0. мы в первую очередь ориентировались на повышение скорости и удобства работы ИБ-специалистов с системой. Для нас эргономика решения не менее важна, чем его функциональность. Упрощение взаимодействия офицеров безопасности со всеми модулями Solar Dozor является частью единой стратегии развития нашего DLP-решения». |
Dozor Web Proxy 3.0 автоматически синхронизирует досье сотрудника, ключевой аналитический элемент, с DLP-системой Solar Dozor, что обеспечивает постоянную полноту информации по конкретной персоне вне зависимости от используемого инструмента, подчеркнули в «Ростелеком-Solar».
Со слов разработчика, заметные изменения затронули и реализованный в предыдущих версиях механизм конфигурирования веб-прокси. Эргономичный интерфейс управления настройками конфигурации позволяет осуществлять быстрый поиск параметров фильтрации трафика и доступа пользователей и приложений в соответствии с основными задачами администратора системы.
В Dozor Web Proxy 3.0 реализована функциональность, позволяющая более гибко управлять настройками аутентификации для доступа приложений в Интернет. В представленной версии можно настроить исключения для приложений, которые не поддерживают функцию аутентификации, например, для служб обновления ПО, банковских и тому подобных приложений. Также некоторым хостам необходим доступ в Интернет без аутентификации — например, серверам, оснащенным антивирусной защитой. Исключения аутентификации можно задавать как в прозрачном, так и непрозрачном режимах работы прокси, отметили в «Ростелеком-Solar».
По информации на февраль 2019 года Dozor Web Proxy внесен в Единый реестр отечественного ПО (№ 2874) и может использоваться для замещения зарубежных аналогов. Ведется подготовка к сертификации решения во ФСТЭК России.
2018
Solar Dozor 6.7
23 ноября 2018 года компания Ростелеком-Solar выпустила очередную версию своего DLP-системы Solar Dozor. По информации компании, в версии 6.7 реализован функционал, который усилит противодействие нарушениям правил хранения конфиденциальной информации в корпоративной среде и защиту от ввода пользователями критичных корпоративных данных в различные приложения.
Ключевым в Solar Dozor 6.7 стала возможность активного противодействия нарушениям правил хранения конфиденциальной информации в корпоративной среде с помощью модуля File Crawler. Теперь офицер информационной безопасности может настроить работу File Crawler таким образом, чтобы найденные в результате сканирования файлы, нарушающие политику ИБ, автоматически помещались в безопасное хранилище (карантинный каталог).
Эта функция на ноябрь 2018 года является уникальной для отечественного рынка. Она позволяет предотвратить утечку конфиденциальной информации, не дожидаясь, пока офицер безопасности заметит нарушение и предпримет необходимые меры для его устранения. Галина Рябова, руководитель отдела развития продуктов Solar Dozor |
Кроме того, в очередной версии реализована возможность перехвата ввода данных в различные приложения с устройств ввода. Дело в том, что многие приложения шифруют проходящие через них данные. Чтобы офицер ИБ мог проконтролировать, что именно вводят пользователи корпоративных информационных систем в различные приложения, в данной версии реализована функциональность, позволяющая перехватывать эти данные до того, как они попадают в приложения. В частности, Solar Dozor 6.7 осуществляет перехват данных, стертых клавишей Backspace, нажатий клавиши PrintScreen (контроль снимков с экрана), различных комбинаций клавиш, обрабатываемых приложениями, логинов и паролей, вводимых пользователями и т. п. При этом офицер безопасности может настроить перехват только той информации, которая является особо критичной для организации.
На ноябрь 2018 года система также позволяет увидеть события, происходившие на рабочей станции (терминале/удаленном рабочем столе) за несколько минут до и после ввода данных в приложение. Для этого непосредственно в журнале для каждой записи реализован поиск ближайших по времени снимков экрана.
В помощь офицеру ИБ для организации более удобного анализа сетевого трафика в Solar Dozor 6.7 добавлена возможность фильтрации однотипных сообщений, содержащих совпадающие заголовки, действия пользователей и типы таких действий, а также дату и время действий. Функция призвана снизить перехват неинформативного трафика.
Кроме того, реализована привязка файлов к сообщениям при перехватах на почтовых ресурсах в заданных по умолчанию режимах работы ICAP/ICAPS-серверов. Перехваты файлов происходят не сразу после загрузки, а в зависимости от ресурса привязываются к перехватам отправки сообщения и/или сохранения черновика. Вложения выгружаются по таймауту, если в течение данного времени пользователь так и не отправил сообщение.
Интеграция с СЭД CompanyMedia
16 августа 2018 года стало известно, что Ростелеком-Solar и компания ИНТЕРТРАСТ завершили интеграцию своих продуктов: СЭД CompanyMedia, DLP-системы Solar Dozor и IGA-платформы Solar inRights. Совместное их использование позволит заказчикам разграничивать права доступа сотрудников в системе электронного документооборота и защититься от утечки. Подробнее здесь.
Интеграция с межсетевыми экранами FortiGate
Решение для защиты от утечек данных Solar Dozor от Solar Security и межсетевые экраны следующего поколения FortiGate next-generation firewall virtual appliances компании Fortinet протестированы на совместимость. Об этом 7 мая 2018 года сообщили в компании Solar Security.
DLP-решение контролирует деятельность и коммуникации сотрудников на рабочих станциях, в корпоративной сети и интернете. Технически эта функциональность обеспечивается за счет модулей, которые разворачиваются в инфраструктуре заказчика в ходе проекта внедрения и контролируют различные типы трафика.
Решения FortiGate next-generation firewall virtual appliances осуществляют мониторинг трафика с целью блокирования доступа к зараженным сайтам и использования опасных приложений, а также предотвращения вирусных заражений и обеспечения проактивной защиты от вторжений. При интеграции с Solar Dozor по ICAP весь веб-трафик, проходящий через FortiGate next-generation firewall virtual appliances, попадает для анализа в DLP-систему.
После этого Solar Dozor формирует схемы коммуникаций сотрудников, профилирует их поведение и детектирует аномалии, чтобы с высокой точностью выявлять и предотвращать утечки информации, пояснили в Solar Security.
Интеграция с решениями Fortinet сделает процесс внедрения Solar Dozor проще и быстрее, так как позволит не разворачивать дополнительные инструменты для сбора и расшифровки веб-трафика, а использовать решение, которое в большинстве случаев уже установлено у заказчика. Таким образом, мы будем встраиваться в уже имеющуюся инфраструктуру без необходимости закупки модуля web-proxy у нас или других производителей подобных систем, — рассказал Василий Лукиных, менеджер по развитию бизнеса Solar Dozor компании Solar Security. |
Solar Dozor 6.6
Компания Solar Security, разработчик продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, 11 апреля 2018 года представила Solar Dozor 6.6, очередную версию системы контроля коммуникаций сотрудников, выявления ранних признаков корпоративного мошенничества и проведения расследований. Solar Dozor 6.6 контролирует действия привилегированных пользователей и защищает конфиденциальные данные в облаке.
Разработчики встроили в версию 6.6 облачный краулер. Это специализированный инструмент, позволяющий офицеру безопасности сканировать облачные хранилища, которые используют сотрудники.
В корпоративном сегменте широкое распространение получил Microsoft Office 365, поэтому в первую очередь мы реализовали именно аудит OneDrive — в отношении как корпоративных, так и публичных облачных хранилищ. В будущем мы планируем масштабировать эту технологию и на другие облачные сервисы. Офицер безопасности должен иметь возможность контролировать информацию вне зависимости от того, где она хранится, — рассказал Василий Лукиных, менеджер по развитию бизнеса Solar Dozor компании Solar Security. |
Кроме того, по словам разработчиков, в представленной версии возможности Solar Dozor были существенно расширены за счет функций собственной безопасности DLP-системы. Solar Dozor 6.6 предлагает бизнесу инструменты, позволяющие «контролировать контролёров» — это управление правами доступа и аудит действий пользователей DLP-системы.
Гибкая система управления правами доступа пользователей позволяет легко управлять учетными записями и ролями пользователей. Решение поддерживает гранулированное управление доступом, разграничивающее права на отдельные разделы интерфейса, объекты и функции системы.
Журнал действий пользователей Solar Dozor 6.6 содержит детализированные записи о том, кто, когда и что делал в системе. С его помощью можно контролировать действия как конкретных ИБ-специалистов, так и всех пользователей DLP-системы. Если кто-либо попытается совершить недопустимые действия в системе, заинтересованным лицам немедленно будет отправлено уведомление об инциденте.
Как и каждое обновление Solar Dozor, версия 6.6 включает усовершенствования интерфейса. В данном случае речь идет о справочной системе. Теперь из любого окна DLP-системы пользователю доступна контекстная справка, содержащая всю информацию о разделе, в котором он находится. Справка оформлена в едином стиле Solar Dozor и поддерживает моментальный поиск нужной информации.
2017
Интеграция с NeuroDAT SIEM
Компании Solar Security и Центр безопасности информации в начале ноября 2017 года завершили интеграцию DLP-решения Solar Dozor и системы мониторинга информационной безопасности NeuroDAT SIEM. В рамках технологического сотрудничества реализована схема взаимодействия решений, которая позволяет обогащать NeuroDAT SIEM информацией об инцидентах из Solar Dozor.
Solar Dozor выявляет и предотвращает внутренние угрозы информационной безопасности компании. Решение собирает информацию о движении конфиденциальной информации и коммуникациях сотрудников компании через корпоративную и личную почту, различные мессенджеры, веб-ресурсы и многие другие каналы.
Кроме того, в отличие от других DLP-систем, Solar Dozor фиксирует не только факт утечки информации, но и нестандартное, подозрительное поведение сотрудников компании. Такая информация является результатом сложной аналитики и помогает выявить готовящуюся или скрытно ведущуюся атаку, незаметную для классических технологий предотвращения утечек.
Компании разработали коннектор, позволяющий передавать данную информацию из Solar Dozor в NeuroDAT SIEM. Как результат, теперь в NeuroDAT SIEM автоматизированное формирование различных типов инцидентов информационной безопасности на основе анализа и корреляции (сопоставления) событий происходит с использованием ещё одного важного поставщика событий.
При интеграции с Solar Dozor NeuroDAT SIEM агрегирует и анализирует события с источников, отслеживающих не только внешние, но и внутренние угрозы информационной безопасности. Благодаря этому офицер безопасности получает полную картину происходящего в компании из одной консоли, может применять единые аналитические инструменты ко всей информации о событиях. Это позволяет мгновенно выявлять ведущиеся атаки и оперативно реагировать на них, — отметил Василий Лукиных, менеджер по развитию бизнеса Solar Dozor компании Solar Security. |
Учитывая, что NeuroDAT SIEM осуществляет сбор событий безопасности не только от DLP-систем, то, применяя реализованные в NeuroDAT SIEM механизмы корреляции событий, офицеры безопасности получат дополнительный инструмент сокращения числа ложных срабатываний при обнаружении инцидентов, связанных с утечкой данных, — добавил Иван Аксененко, Центр безопасности информации. |
Интеграция с MaxPatrol SIEM
Компании Solar Security и Positive Technologies сообщили в октябре о завершении проекта по интеграции DLP-решения Solar Dozor и MaxPatrol SIEM ― системы, предназначенной для выявления инцидентов ИБ в реальном времени. Теперь Solar Dozor передает данные в MaxPatrol SIEM, благодаря чему офицер безопасности получает полную картину событий и инцидентов ИБ в компании, включая данные о передаче конфиденциальной информации по различным каналам, из одного источника.
Solar Dozor 6.5
12 октября 2017 года компания Solar Security представила очередную версию Solar Dozor, созданную для того, чтобы оптимизировать процессы конфигурирования и самодиагностики системы. В релиз вошёл целый ряд функций, упрощающих настройку системы, а также развёртывание и управление агентами.
В эргономичном интерфейсе упростилось управление настройками Solar Dozor 6.5. Это достигается благодаря интуитивной группировке и быстрому сквозному поиску параметров системы.
В частности, была доработана система развертывания и управления агентами. Solar Security 6.5 позволяет офицеру ИБ централизованно устанавливать агенты на рабочие станции, настраивать политики и отслеживать их состояние. В версии 6.5 есть своя карточка для каждой рабочей станции, где отражаются технические данные о ней, информация о всех логинившихся пользователях, сведения о статусе агента и актуальности настроек и политик. Это позволяет офицеру ИБ контролировать бесперебойную работу агентов Solar Dozor.
Кроме того, офицеру ИБ больше не нужно обращаться к системным администраторам за актуальной информацией о состоянии инфраструктуры, потому что в Solar Dozor 6.5 появился инструмент для исследования локальной сети на предмет появления новых узлов и сервисов, указали в Solar Security.
Чтобы настройка Solar Dozor не вызывала лишних сложностей, в версии 6.5 также реализована интерактивная справка, которую можно открыть в любом месте интерфейса системы.
Поддержка Postgres Pro
19 сентября 2017 года компания Solar Security, разработчик продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, объявила о реализации в системе Solar Dozor поддержки Postgres Pro, отечественной ветки СУБД PostgreSQL.
По словам разработчиков, оптимизация архива событий — важная часть развития Solar Dozor. В продукте реализованы механизмы управления долгосрочным и оперативным хранением, которые снимают ограничения на срок хранения и обеспечивают большое «плечо расследования» на любом отрезке времени. Поддержка PostgreSQL была реализована еще в версии Solar Dozor 6.1, и благодаря специально разработанной системе секционирования PostgreSQL достигалось сокращение затрат на хранение данных и увеличение скорости поиска по архиву. Подтвержденные возможности архива Solar Dozor составляют свыше 10 лет хранения данных и более 850 ТБ объема. В последней версии DLP-системы полнотекстовый поиск по архиву занимает всего несколько секунд.
СУБД Postgres Pro входит в реестр российского ПО, что делает связку Solar Dozor — Postgres Pro оптимальным решением для компаний, планирующих замещение зарубежных ИТ-систем отечественными.
Solar Dozor 6.4
11 апреля 2017 года компания Solar Security объявила о выходе версии DLP-технологии Solar Dozor 6.4.
В этой версии повышена результативность расследований и удобство работы пользователя с системой. Согласно заявлению разработчиков, Solar Dozor 6.4 на каждом этапе помогает офицеру безопасности быстрее получать необходимую информацию, экономить время на рутинных операциях и делать больший объём работ при меньших трудозатратах[1].
Solar Dozor 6.4 предлагает офицеру безопасности инструмент — сводную аналитику по персоне. «Сводная аналитика по персоне» содержит полную сводку активности сотрудника — основную информацию, статистику по событиям и инцидентам, связи, коммуникации и файлы. Отчет адаптирован так, чтобы можно было сразу отправить его руководителю, представить на совещании или прикрепить к личному делу сотрудника в кадровой службе. Его можно отобразить в веб-интерфейсе или выгрузить PDF-файл для печати.
Еще один инструмент оптимизации расследований — анализ архива электронной почты сотрудников, созданного до внедрения DLP. «Заглянуть в прошлое» помогает функции сканирования почтовых серверов. Любой почтовый сервер, облачный или публичный сервис электронной почты, с поддержкой протокола IMAP, можно подключить к Solar Dozor 6.4 и анализировать архив переписки, применив политики и правила фильтрации. Это сокращает время получения первых результатов на пилотных проектах, поскольку после первого сканирования служба ИБ получает информацию по инцидентам, происшедшим до внедрения Solar Dozor.
Собственный прокси-сервер Solar Dozor Web-Proxy теперь работает в прозрачном режиме, в том числе при разворачивании SSL-шифрования. Такой подход позволяет использовать все возможности прокси-сервера без необходимости вносить дополнительные настройки интернет-соединения на рабочих станциях. Они просто подключаются к сети, и вся веб-активность сотрудников, включая зашифрованный трафик, оказывается под контролем.
В интерфейс Solar Dozor 6.4 добавлено более 100 изменений. Возможности интерфейса позволяют быстро создать инцидент из сообщения, добавить персону в группу особого контроля, найти объекты в досье, политиках и информационных объектах, оставлять комментарии к карточке инцидента и другое.
В версии Solar Dozor 6.4 реализован функционал «Хлебные крошки». Он позволяет просматривать и при необходимости быстро возвращаться к 10 последним действиям в системе. Это упрощает выполнение рутинных задач офицера безопасности, когда в ходе работы с DLP-системой ему приходится совершать множество щелчков мышью в минуту, переходя от основной ветки расследования к побочным. Теперь пользователю не требуется держать в памяти цепочку своих действий, чтобы быстро вернуться к основной ветке.
С самого начала мы стремились создать продукт, отличный от других решений российского рынка DLP — оптимизированный в части аналитики, удобный в работе и ориентированный на применение технологий в той же степени, в какой и на комфорт пользователя. В Solar Dozor 6.4 мы продолжили развивать аналитические инструменты офицера безопасности, сконцентрировавшись на том, чтобы упростить процесс расследования инцидентов. Кроме того, мы убеждены, что DLP-система должна подстраиваться под пользователя, а не наоборот. Поэтому большая часть работы над релизом была посвящена доработкам в части юзабилити. В итоге несмотря на то, что в основе Solar Dozor 6.4 лежат сложнейшие технологии, система стала еще более простой и удобной в использовании. Галина Рябова, руководитель направления Solar Dozor компании Solar Security |
Solar Security и Kraftway представят совместное защищенное решение
Solar Security объявила о начале технологического партнерства с Kraftway. Пртнеры выведут на рынок совместное решение, ориентированное, в первую очередь, на организации государственного сектора, которые предъявляют повышенные требования к защищенности и происхождению инфраструктурных решений.
Совместная разработка представляет собой программно-аппаратный комплекс, включающий систему для защиты от внутренних угроз Solar Dozor, развернутую на доверенных серверах Kraftway. Они могут находиться под управлением одной из сертифицированных отечественных операционных систем, в том числе Astra Linux Special Edition 1.5 (релиз «Смоленск»), «ГосЛинукс» или «Циркон 36К».
Для повышения уровня доверия к аппаратным средствам Kraftway разработал и претворяет в жизнь концепцию доверенной платформы. Повышенная защищенность серверов Kraftway достигается за счет использования в их архитектуре разработанных в России материнских плат, а также исходных кодов встроенного микропрограммного обеспечения ключевых узлов (BIOS материнских плат и прошивки микроконтроллеров). Средства защиты и контроля информации глубоко интегрируются в материнские платы на этапе проектирования и запускаются на самом начальном этапе работы устройств, до старта операционной системы, с гарантированным приоритетом исполнения над всеми другими аппаратными и программными функциями. На все серверы компании также устанавливаются специализированные программные средства собственной разработки для сбора и обработки информации о событиях безопасности и мониторинга и управления инфраструктурой. Производство оборудования на заводе в России с возможностью интеграции в производственный цикл специальных проверок и исследований сводит к нулю вероятность наличия в серверном оборудовании недекларированных возможностей и скрытых каналов управления.
«Государственные информационные системы превращаются во все более привлекательную мишень для киберпреступников, действующих дерзко и изощренно, – отметил Шумилов Максим, заместитель директора департамента развития бизнеса Kraftway. – В современных условиях решение вопросов информационной безопасности невозможно без учета уязвимостей, находящихся ниже уровня ОС, в микропрограммном обеспечении на системных платах, в прошивках микроконтроллеров. Программно-аппаратные комплексы, создаваемые на основе доверенных платформ Kraftway, лишены таких уязвимостей и обладают дополнительным функционалом для отражения низкоуровневых атак на информационную инфраструктуру. Поэтому использование в качестве аппаратной основы доверенного серверного оборудования Kraftway позволяет разработчикам ПО и интеграторам выводить на рынок современные, надежно функционирующие, протестированные комплексы, которые помогут государственным организациям и предприятиям создать действительно эффективную систему превентивной защиты конфиденциальной и секретной информации».
2016
На Solar Dozor и АМТ InfoDiode анонсирован ПАК для контроля коммуникаций сотрудников
В ноябре компании Solar Security и АМТ-ГРУП объявили о создании программно-аппаратного комплекса для контроля коммуникаций сотрудников и выявления ранних признаков корпоративного мошенничества в компаниях с изолированными защищенными средами. Решение реализовано на базе продуктов Solar Dozor и АМТ InfoDiode.
Разработка ориентирована, в первую очередь, на государственный сектор, в том числе, силовые структуры, промышленность, топливно-энергетический комплекс, а также коммерческие предприятия любых отраслей, использующие изолированные контуры сетевой инфраструктуры. Применение DLP-систем в таких организациях накладывает определенные ограничения на хранение и обработку анализируемых данных. Даже если сбор осуществляется в незащищенном контуре, анализ и хранение информации должны проводиться в закрытом периметре, недоступном извне. Это позволяет обеспечить надёжный контроль коммуникаций сотрудников и гарантированную конфиденциальность корпоративной информации.
Программно-аппаратный комплекс представляет собой решение Solar Dozor 6, развернутое в открытом и закрытом контурах на защищенных серверах InfoDiode, разделенных аппаратным однонаправленным шлюзом. Применение Solar Dozor 6 совместно с АМТ InfoDiode позволяет гарантировать защиту критичных сегментов от внешних угроз, и, следовательно, обеспечить беспрецедентный уровень защищенности при осуществлении контролируемой выгрузки/загрузки информации. Сбор и фильтрация данных осуществляется на обоих серверах, но все данные, полученные в открытом контуре, передаются в закрытый сегмент, где хранятся и обрабатываются.
Данные могут передаваться как по протоколам прикладного уровня (FTP, SMTP, CIFS и др.), так и по протоколам транспортного уровня (TCP, UDP). Решение состоит исключительно из российских компонент как в программной составляющей (в т.ч., российской сертифицированной операционной системы Astra Linux), так и в аппаратной части.
Solar Dozor 6.2
28 сентября 2016 года компания Solar Security объявила о выпуске релиза версии Solar Dozor 6.2.
В версии Solar Dozor 6.2, в дополнение к привычному рабочему столу аналитика, реализован функционал под названием «Рабочий стол руководителя». Это раздел панели управления, предоставляющий руководителю подразделения ИБ или бизнес-заказчику DLP-системы возможность получить необходимую информацию для анализа оперативной обстановки.
Основная задача этого программного решения - помощь начальнику ИБ-отдела в управлении подчинёнными, использующими Solar Dozor. Руководитель службы ИБ может увидеть на одном экране сводную информацию о количестве событий и инцидентов, о том, сколько из них обработано или в стадии рассмотрения, кто отвечает на разбор того или иного события, может просматривать данные последних отчетов, сформированных офицерами безопасности[2].
Графические виджеты на рабочем столе руководителя дают более высокоуровневое и обобщенное представление о ситуации в компании, динамике числа инцидентов и уровне угроз. Виджеты сгруппированы так, чтобы предоставить руководителю службы ИБ необходимые данные для быстрой оценки и внесения корректив в работу аналитиков, разбирающих инциденты.
В этой версии Solar Dozor реализован поиск и отображение связанных сообщений мессенджеров в виде бесед. По мнению разработчиков, этот привычный и понятный способ представления позволяет оценить, является ли срабатывание системы инцидентом, упрощает и ускоряет проведение расследований.
Чтобы служба безопасности имела уверенность в подконтрольности рабочих станций сотрудников, Solar Dozor 6.2 отслеживает и отображает статус активности агентов. При просмотре списка персон, входящих в соответствующую группу, или карточки персоны, офицер безопасности получит информацию о наличии агента на рабочей станции и его активности.
Многие DLP-системы до сих пор остаются своеобразным «черным ящиком» для пользователей, они точечно уведомляют о событиях ИБ, но не помогают офицеру безопасности сформировать единую картину того, что происходит в организации. Мы заботимся о том, чтобы аналитика в Solar Dozor была прозрачной и понятной, и для этого постоянно работаем над улучшением отчетов. Рабочий стол руководителя является очередным шагом в этом направлении: он сводит воедино всю верхнеуровневую аналитику, обеспечивая полноту и целостность видения ситуации в компании. |
Solar Dozor 6.1
Новым аналитическим инструментом Solar Dozor 6.1 является «Тепловая карта коммуникаций», которая визуализирует интенсивность коммуникаций сотрудников или движения информации, при этом интенсивность коммуникаций в разрезе каналов кодируется цветом. Данный инструмент дает офицеру по безопасности возможность быстро оценить обстановку, увидеть потенциальные риски и «горячие точки». Используя этот инструмент, офицер по безопасности может построить графическую карту по интересующему его информационному объекту или персоне.
Также расширен функционал по контролю пользователей через анализ скриншотов их рабочих мест. Снятие изображения с экрана пользователя может быть настроено по расписанию, по нажатию заданной последовательности клавиш, по активному пользовательскому окну или приложению, например, по нажатию PrintScreen в окне CRM, ERP-системы или конструкторского приложения. Все скриншоты теперь попадают в «Досье на персону». Для удобного отображения, поиска и визуализации база скриншотов представлена в виде привычной для пользователей современной галереи, поддерживающей всевозможные фильтры, например, название активного приложения. Реализована возможность получения списка процессов и приложений, запущенных на рабочей станции в момент снятия скриншота.
Ещё одним новым инструментом стала расширенная карта коммуникаций информационных объектов, содержащая статистику по всем коммуникациям, связанным с передачей и хранением информационных объектов за конкретный период времени. Ранее была доступна возможность посмотреть карту коммуникаций одного информационного объекта, в новой версии стала доступна карта категорий информационных объектов. В результате офицер по безопасности, оценив общую обстановку, может быстро, в один клик получить детализацию по заинтересовавшему его информационному объекту с возможностью перехода к конкретному сообщению.
Как и в предыдущих версиях, при разработке Solar Dozor 6.1 было уделено большое внимание системе отчетности. Результаты работы со всеми новыми инструментами доступны и в отчётах, которые можно просматривать как в веб-интерфейсе решения, так и выгружать в формате PDF и/или XML. Также есть возможность настроить рассылку отчётов на e-mail всем заинтересованным лицам по расписанию.
Продолжая курс на поддержку импортозамещения и возможностей использования свободно распространяемого ПО, в данной версии были расширены возможности применения PostgreSQL, первая поддержка которой была реализована еще в 2005 г. В частности, доработаны механизмы долгосрочного хранения больших массивов данных, не уступающие, по словам разработчиков, по объемам коммерческим СУБД.
В Solar Dozor 6.0 в 5 раз увеличена скорость распознавания изображений
В июне 2016 года Solar Security сообщила о существенном развитии модуля Solar Dozor OCR, разработанного на основе технологий распознавания текстов компании ABBYY. Данный модуль позволяет в рамках DLP-системы Solar Dozor контролировать поток конфиденциальных данных и предотвращать их утечку за счет распознавания текстовой информации в различных изображениях.
Количество передаваемой информации как вовне, так и внутри организаций постоянно растет, тем самым повышается риск утечки конфиденциальной информации. Solar Dozor OCR позволяет распознавать графические образы текста в файлах изображений, которые сотрудники могут передавать по сетевым каналам, отправлять на печать, копировать на внешние носители или сохранять на сетевых хранилищах. Применение данного модуля в рамках DLP-системы помогает организациям защитить конфиденциальные данные от утечки, даже если они были конвертированы в графику – распечатаны и отсканированы, сфотографированы, сохранены в PDF, сняты с экрана в виде скриншотов и т.д.
Увеличение потока передаваемой информации приводит к росту нагрузки на оборудование и, как следствие, к вынужденному расширению инфраструктуры на стороне заказчика. Поэтому сотрудниками Solar Security и ABBYY было принято решение о развитии модуля OCR в рамках DLP-системы Solar Dozor. Скорость распознавания модуля была увеличена в 5 раз по сравнению с его базовыми показателями, что позволяет обрабатывать изображения в информационном потоке объемом более 700 Гб в сутки, не замедляя при этом работу DLP-системы. Увеличения скорости удалось добиться за счет предварительной обработки изображений: модуль осуществляет коррекцию перекосов строк и их искажений, определяет верх и низ документа и изначально отраженный текст, а также позволяет распознавать многоколоночный текст.
Solar Security первой выпустила DLP-агент для контроля рабочих станций на Linux
Весной 2016 года Solar Security первой среди отечественных DLP-разработчиков выпустила на рынок модуль контроля рабочих станций Dozor Endpoint Agent for Linux, являющийся частью DLP-системы Solar Dozor 6.0, предназначенный для работы с Astra Linux и GosLinux (Гослинукс).
Разработка Dozor Endpoint Agent for Linux является важным этапом развития первой российской DLP-системы Solar Dozor 6.0. Создание модуля продиктовано прежде всего требованиями российского рынка, так как все большее количество организаций в рамках импортозамещения переходит на свободные ОС на базе Linux.
Dozor Endpoint Agent for Linux позволяет контролировать содержимое данных на съемных носителях, печать на локальных и сетевых принтерах, а также осуществляет аудит рабочих станций и подключенных сетевых хранилищ на предмет нарушения политик хранения конфиденциальных данных, используя контентные и контекстные атрибуты.
Модуль Dozor Endpoint Agent for Linux может использоваться в организациях, где есть повышенные требования к защищенным системам, в нем предусмотрена возможность блокировки передачи данных для эффективной защиты наиболее критичной информации.
2015
Solar Dozor 6.0
В сентябре 2015 года Solar Security сообщила о выпуске «принципиально новой» версии DLP-системы – Dozor 6.0. В компании отмечают, что она разрабатывалась с учетом изменений вектора работы корпоративных служб безопасности: по наблюдениям Solar Security, вместо борьбы с отдельными утечками конфиденциальной информации безопасники теперь все больше фокусируются на борьбе с внутренним мошенничеством, защите от нелояльных сотрудников и сотрудников из групп риска, способных нанести экономический ущерб работодателю.
Чтобы Dozor лучше подходил для решения этих задач, в нем была расширена аналитическая функциональность и поисковые возможности, а также переработан интерфейс в соответствии с новой логикой работы.
«При разработке новой версии Solar Dozor 6.0 специалистами компании была проведена обширная исследовательская работа, обобщившая практику использования более 100 инсталляций предыдущих версий системы, - говорят в Solar Security. - Результатом этой работы стало существенное обновление системы, которое позволяет пользователям Solar Dozor 6.0 выявлять, блокировать и расследовать не просто утечки конфиденциальной информации, а полноценно бороться со сложными схемами корпоративного мошенничества».
Аналитические возможности
В числе новых аналитических возможностей Dozor – возможность выявлять аномалии в поведении и в коммуникациях сотрудников (например, общение с нетипичными контактами), возможность анализа данных на основе OLAP и BI-технологий с мгновенной детализацией, подсказка следующих шагов при проведении расследований. Также в системе появился каталог выявленных мошеннических схем и их ранних признаков с отраслевой спецификой, который может помочь при анализе событий и инцидентов.
В новой версии Dozor существенно расширилась функция «досье»: в предыдущей версии программы можно было составлять «досье» только отдельно на каждого сотрудника и отдельно рассчитывать уровень доверия к каждому из них, вводя основную часть информации для этого вручную. В новой же версии продукта досье можно составлять и на группы сотрудников, а данные в систему могут подгружаться автоматически из внешних систем – HRM и системы проверки контрагентов. Технология построения уровня доверия сотрудника была также усовершенствована.
Помимо сотрудников, «досье» теперь можно составлять и на информационные объекты, под которыми понимается группа документов и информационных сообщений определенной тематики: например, протоколы совещаний, резюме стратегии и планы. Также в Dozor была добавлена возможность интеграции модуля аналитики, расследования и хранения с любой сторонней DLP-системой.
Поисковые возможности
По заявлениям разработчиков, обновленный Dozor способен осуществлять поиск со скоростью менее чем 1 сек. в архиве из 17 млн сообщений. По словам гендиректора Solar Security Игоря Ляпунова, ранее поиск мог занимать от нескольких минут до 30-40 минут, в зависимости от объема массива данных, по которым он осуществлялся.
Ляпунов пояснил, что компания провела исследование, что чаще ищут пользователи, каковы наиболее типичные поисковые запросы при тех или иных расследованиях, и по многим запросам создала готовые срезы данных. За счет этого до 85-90% запросов должны обрабатываться быстрым поиском, ожидают в Solar Security. Интерфейс поиска при этом теперь выполнен в стиле традиционных интернет-поисковых систем.
Интерфейс
Интерфейс Dozor 6.0 существенно отличается от интерфейса предшествующих версий системы: он приобрел «космический вид», а его основой является ситуационный центр по внутренним угрозам, позволяющий решать большинство оперативных задач в рамках единой информационной панели. позволяет м для дальнейшего мониторинга и реагирования.
Интерфейс Dozor 6.0 адаптирован под работу по двум основным сценариям: регулярный мониторинг оперативной обстановки и проведение расследований.
На единой информационной панели доступна информация по важнейшим результатам работы системы, таким как критичные события, персоны и группы особого контроля, защищаемые информационные объекты, аномалии в поведения сотрудников, а также сводная информация по существующим в данный момент угрозам. По задумке компании, это должно упростить сотрудникам служб безопасности мониторинг событий и позволить быстро оценивать оперативную обстановку и выделять приоритетные на текущий момент задачи.
В ситуационном центре Solar Dozor 6.0 также реализован кейс-менеджмент для управления жизненным циклом инцидента: система позволяет назначать ответственного за проведение расследования, контролировать его ход и видеть результат.
Ценовая политика
Говоря о стоимости лицензий Dozor 6.0, гендиректор Solar Security Игорь Ляпунов заявил TAdviser, что в среднем она осталась такой же, как для лицензий предыдущей версии продукта, однако по наиболее распространенным инсталляциям стоимость окажется несколько ниже: принимая во внимание сложную экономическую ситуацию в стране, компания внесла изменения в структуру лицензирования и оптимизировала продукт по цене.
2014
Дозор-Джет 5.0.4
18 сентября 2014 года компания «Инфосистемы Джет» объявила о выходе нового релиза программного комплекса «Дозор-Джет» 5.0.4. Ключевая особенность релиза — наличие инцидентной модели расследования. Обновленный управленческий интерфейс системы позволяет интерпретировать и визуализировать необходимые для расследования данные в удобной форме с различным уровнем детализации.
Инцидентная модель превращает DLP-систему в инструмент расследования фактов нарушения информационной и экономической безопасности, повышающий эффективность ИБ- и СБ-служб, позволяя им выявлять и пресекать факты мошенничества или коммерческого сговора сотрудников на начальных стадиях.
Новый функционал позволяет разбирать инциденты на трех уровнях:
- оперативный уровень: система автоматически ведет мониторинг и анализ всех корпоративных коммуникаций сотрудников, создавая инциденты по событиям ИБ и присваивая им необходимый уровень критичности. На основе этих данных также формируется уровень доверия к каждому сотруднику. Сотрудник ИБ или СБ на этом уровне может перенаправить отдельные инциденты для более глубокой проверки или же пометить инцидент как ошибочный;
- тактический уровень: аналитик ИБ имеет возможность напрямую из окна инцидента просматривать досье участников коммуникации, выполнять глубокий анализ и расследование инцидента, в том числе на основе выявленных системой внутренних взаимосвязей между участниками подозрительной коммуникации (как внутри компании, так и вовне). Результат работы — расследование и квалификация инцидента ИБ, выявление причастного к нему круга лиц. По итогам расследования формируется отчет для руководства;
- стратегический уровень предусматривает работу руководителя служб ИБ или СБ и бизнес-руководства по принятию управленческих решений на базе отчетов, создаваемых в системе.
Технологии, используемые в «Дозор-Джет», позволяют при возросшем объеме работ, выполняемых комплексом, сохранить высокую производительность системы фильтрации: поток данных перехватывается и анализируется на скорости до 10 Гбит/с.
«Этот релиз переводит продукт из классических ИБ-систем в класс бизнес-систем, используемых, в том числе, и для обеспечения экономической безопасности. После модуля „Досье сотрудников`, увеличения скорости разбора трафика и перехода к хранению данных по технологиям Big Data, реализованных в предыдущих релизах „Дозор-Джет`, логичным стало введение инцидентной модели расследований. Это закономерный шаг, позволяющий перейти к созданию масштабной системы расследований инцидентов ИБ и глубокой бизнес-аналитики корпоративных коммуникаций», — рассказал Игорь Ляпунов, директор Центра информационной безопасности компании «Инфосистемы Джет».
Дозор-Джет 5.0.2
16 июля 2014 года компания «Инфосистемы Джет» объявила о выходе релиза 5.0.2 комплекса защиты от утечек информации «Дозор-Джет».
Разработчики изменили конфигурацию комплекса: начиная с этой версии комплекс состоит из трех функциональных блоков, объединяющих 12 модулей в соответствии с типом решаемых задач.
Нововведения носят организационный характер − они затрагивают лицензирование и модульную компоновку и не касаются технической архитектуры решения: модули теперь сгруппированы согласно конкретным задачам защиты от утечек информации. В результате оптимизированы логика внедрения и эксплуатация продукта, а также расширены технологические возможности по дальнейшему наращиванию его функционала.
В соответствии с новой модульной структурой, изменилась лицензионная политика. Она вступила в силу с июля 2014 года и отличается большей прозрачностью и гибкостью.
«Более чем за 15 лет на рынке "Дозор-Джет" прошел путь от почтового архива до одного из самых зрелых DLP-решений на российском рынке. Функционал комплекса неоднократно обновлялся в соответствии с актуальными тенденциями рынка, однако его структура оставалась неизменной, − отметил Игорь Ляпунов, директор Центра информационной безопасности компании "Инфосистемы Джет". – В результате мы сталкивались со сложностями запуска новых возможностей в рамках не соответствующей им структуры. Стремясь усовершенствовать этот процесс, мы создали концептуально новую структуру продукта, на базе которой будем продолжать его развитие. Это повлияло и на изменение лицензионной политики. По сути, мы "перезапустили" "Дозор-Джет"».
Структура «Дозор-Джет» 5.0.2
- блок Dozor Monitor, предназначенный для ведения пассивного мониторинга и анализа корпоративных коммуникаций, включая проверку сообщений электронной почты, систем мгновенных сообщений, файлов и других данных на соответствие положениям внутренних политик использования интернет-ресурсов и внутренних информационных ресурсов компании. Также он обеспечивает расследование инцидентов в области информационной и экономической безопасности в корпоративных информационных средах;
- блок Dozor Prevent − обеспечивает активный контроль и защиту конфиденциальных данных, позволяя не только отследить, но и предотвратить утечку информации из корпоративной сети по различным каналам коммуникации;
- Dozor Full Archive - третий блок, объединяет средства расширенного архива и проведения расследований. Этот блок содержит элементы Artificial Intelligence (технологии обработки и поиска данных) и позволяет проводить сегментирование баз данных, поиск похожих документов, категорирование почтовых сообщений.
Блоки и модули комплекса могут комбинироваться и масштабироваться в соответствии с величиной организации (от компаний сектора SMB до крупных холдингов со сложной распределенной филиальной сетью).
2012
Дозор-Джет 5.0.1
В версии 5.0.1 реализован контроль средств облачного распространения и обмена файлами, таких как Dropbox, «Яндекс.Диск», SkyDrive – и этот список постоянно пополняется. Популярность облачных технологий дает богатейшие возможности для развития DLP, особенно если говорить о новых агентах, сетевом взаимодействии, потому что объемы этих данных огромны.[3]
Один из основных и принципиально новый функционал, который появился в пятой версии, называется «Досье». Речь идет о сборе данных о людях, которых подозревают в инсайдерских действиях. Технология использует различные алгоритмы получения дополнительной информаций и ее обработки и строится на интеграции систем ИБ и иных ИТ-систем. DLP-решение стало одним из ключевых узлов в системе управления безопасностью и способно давать наиболее полные ответы на вопросы, интересующие офицера безопасности с позиции защиты корпоративной информации (Что это за человек? Что он делает? Что он делал вчера? Есть ли в его действиях что-либо подозрительное?).
Режимов поиска и извлечения информации в процессе анализа довольно много: это поиск по части совпадения либо по статистическим отметкам. Режимы поиска настраиваются по уровням точности, достоверности. Поиск по нечетким параметрам включает поиск и документов с заменой, и тех, которые являются компиляциями других известных документов. В новой версии продукта «Дозор-Джет» реализован механизм точного поиска конфиденциальных данных, который мы называем шаблонным документом. Он сократит количество ложных срабатываний.
Дозор-Джет 5.0
В ноябре 2012 года «Инфосистемы Джет» объявила о выходе версии 5.0 комплекса защиты от утечек информации «Дозор-Джет» 5.0, обладающей значительными усовершенствованиями. «Дозор-Джет» 5.0 отличается интуитивно понятным интерфейсом и повышенной до 10 Гбит/с производительностью системы фильтрации, а также наличием новых функциональных модулей. Существенно упрощена эксплуатация и оптимизированы процессы обработки результатов работы комплекса и расследования инцидентов.
Новый интерфейс комплекса «Дозор-Джет» 5.0 делает работу офицера ИБ с системой более удобной и наглядной. Например, стало возможным быстро сравнивать результаты нескольких запросов и оценивать состояние всего комплекса в режиме online. Управление распределенными системами комплекса осуществляется из единой точки через web-интерфейс. При этом обеспечиваются постоянный мониторинг работоспособности всех сервисов и по необходимости их автоматический перезапуск. Это существенно сокращает время, необходимое офицеру ИБ для обслуживания системы, и повышает её управляемость и надежность.
Производительность системы фильтрации новой версии комплекса увеличена более чем в два раза и позволяет перехватывать поток данных на скорости 10 Гбит/с. Благодаря портированию системы фильтрации комплекса на платформу Crossbeam можно гибко наращивать его производительность и обеспечивать необходимый уровень надежности и защищенности.
Алгоритмы обработки информации в пятой версии комплекса оптимизированы для работы со значительными массивами данных. В частности, применение гибридного хранилища данных в «Дозор-Джет» 5.0 позволяет хранить непосредственно в базах данных только «легкие» метаданные писем и индексы. «Тяжелые» данные (вложения и пр.) хранятся в файловом хранилище. За счет этого достигнуто 60%-ное сокращение занимаемого места на дисковой подсистеме по сравнению с прошлыми версиями комплекса, существенно увеличена скорость помещения данных в базу (в некоторых случаях зафиксирован стократный рост показателя). Также пятая версия комплекса позволяет более эффективно работать с историческими данными, подключая их необходимые блоки в автоматическом режиме и самостоятельно контролируя корректность этого процесса. Усовершенствование разграничения понятий «отправитель» и «адресат» сообщений позволяет в разы снизить допустимую погрешность при поиске необходимой информации в условиях множества различных источников сообщений.
Возможности системы расширены с помощью новых функциональных модулей. Благодаря модулю интеграции с BI-платформой QlikView комплекс «Дозор-Джет» 5.0 может эффективно использоваться для контроля исполнения бизнес-процессов компании, мониторинга уровня лояльности сотрудников, составления понятных бизнесу верхнеуровневых отчетов картины информационного обмена при одновременном упрощении работы офицеров ИБ.
Механизмы глубокого анализа данных в пятой версии комплекса «Дозор-Джет» дополнены инструментом, позволяющим вести поиск схожих по содержанию документов и получать целостную картину информационного обмена по определенной тематике. Этот подход реализован в специальном модуле, позволяющем офицеру ИБ с помощью пары кликов определять тематику обнаруженного документа любого объема за счет выделения наиболее типичных слов и фраз и осуществлять поиск похожей информации в накопленном архиве.
2011
Дозор-Джет 4.0.26
В версии системы «Дозор-Джет» 4.0.26 заложена возможность осуществлять мониторинг не только отправляемых, но и получаемых сообщений c почтовых систем Google, Mail и других сайтов. В то же время, специалисты компании «Инфосистемы Джет» завершили разработку новой версии специального агента для рабочих станций, который позволяет осуществлять контроль документов, распечатываемых на принтерах (локальных и сетевых), контроль двусторонней переписки, голосовых вызовов и передачи файлов по Skype.
Анализ неструктурированного текста — еще одна из новых возможностей. Система автоматически анализирует любой неструктурированный текст, находит в нем наиболее значимые слова и выражения и формирует их список. После этого система сравнивает этот список со словарями, например, коммерческой лексики. Это позволяет повысить точность срабатывания оповещения об утечке и тем самым увеличить производительность работы администратора, пояснили в «Инфосистемах Джет».
В данной версии комплекса «Дозор-Джет» также повышена эффективность метода «цифровых отпечатков», позволяющего находить в конфиденциальных документах совпадения с эталонными текстами или изображениями и отслеживать случаи несанкционированного использования критичной для бизнеса информации.
В части интересных для администраторов нововведений можно отметить более удобный, интуитивно понятный интерфейс и новый механизм самоконтроля системы. С его помощью автоматически определяется объем «свободного» места в базах данных, и можно задать правила очистки данных архива. При этом механизмы поиска по накопленной базе стали работать быстрее и точнее. Кроме того, работает новый механизм интеллектуального поиска: система самостоятельно распознает вводимые e-mail адреса и осуществляет поиск по адресу электронной почты, что ускоряет работу для администратора.
В числе важных нововведений следует отметить возможность интеграции с центром оперативного управления информационной безопасностью (Security Operations Center), что позволяет офицерам безопасности получать структурированную информацию о событиях ИБ в едином интерфейсе. Специалисты оценят и новую возможность комплекса работать с Oracle 11 R2 и Oracle Exadata Machine, а также использовать технологию Real Application Claster от Oracle, считают в «Инфосистемах Джет».
Помимо всего, в новую версию комплекса специалисты компании «Инфосистемы Джет» добавили возможность мониторинга корпоративной почты и системы документооборота на основе ПО Lotus-Notes, которая является востребованной для многих компаний на сегодняшний день.
Коннектор для интеграции "Дозор-Джет" и ArcSight
Компания «Инфосистемы Джет» разработала летом 2011 года специальный коннектор для интеграции системы класса SIEM (Security Information and Event Management) ArcSight и комплекса защиты от утечек информации «Дозор-Джет». С его помощью информация, полученная системой мониторинга событий ИБ ArcSight из DLP-системы «Дозор-Джет», будет оперативно поступать офицерам информационной безопасности. Это позволит компаниям минимизировать финансовые и репутационные риски, точно и оперативно выявляя события и инциденты, связанные с утечками информации, говорится в сообщении компании «Инфосистемы Джет».
Разработка коннектора проходила в несколько этапов. Сначала специалисты «Инфосистем Джет» выделили основные типы событий, для которых необходим централизованный сбор с помощью решений ArcSight. В качестве транспорта был выбран протокол syslog как наиболее удобный в реализации: используется стандартный syslog-коннектор, что позволяет обходиться без покупки дополнительных лицензий на систему мониторинга, пояснили в «Инфосистемах Джет». Далее коннектор был доработан и протестирован на стендах компании. По результатам тестирования дополнительно были написаны корреляционные правила и составлены консоли, призванные помочь администраторам безопасности в работе с системой. На завершающем этапе проведено нагрузочное тестирование, которое продемонстрировало способность коннектора обрабатывать поток событий от нескольких серверов одновременно.
«Мы внимательно следим за спросом, постоянно обновляя и совершенствуя функционал продукта, — отметил Кирилл Викторов, заместитель директора по развитию бизнеса компании «Инфосистемы Джет». — Большинство наших заказчиков нуждалось в единой точке сбора всех логов, и теперь объединить нашу систему с решением ArcSight можно без особых усилий».
«Это был довольно сложный, но вместе с тем интересный проект, — рассказал Артем Медведев, руководитель направления Центров оперативного управления ИБ компании «Инфосистемы Джет». — Любая компания, имеющая в арсенале систему мониторинга событий ИБ, рано или поздно задумывается о необходимости ее объединения с DLP-решением. Мы на практике убедились, что интеграцию продуктов ArcSight можно провести фактически с любым приложением».
Примечания
Подрядчики-лидеры по количеству проектов
Инфосистемы Джет (66)
Softline (Софтлайн) (56)
SearchInform (СёрчИнформ) (53)
ДиалогНаука (44)
Информзащита (40)
Другие (920)
Инфосистемы Джет (5)
Softline (Софтлайн) (4)
Национальный аттестационный центр (НАЦ) (4)
Солар (ранее Ростелеком-Солар) (4)
R-Vision (Р-Вижн) (4)
Другие (62)
Солар (ранее Ростелеком-Солар) (8)
SearchInform (СёрчИнформ) (4)
Информзащита (3)
А-Реал Консалтинг (3)
Makves (Маквес) (2)
Другие (44)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
SearchInform (СёрчИнформ) (19, 57)
InfoWatch (ИнфоВотч) (14, 49)
Солар (ранее Ростелеком-Солар) (4, 48)
FalconGaze (Фалконгейз) (1, 38)
Positive Technologies (Позитив Текнолоджиз) (8, 37)
Другие (407, 309)
R-Vision (Р-Вижн) (1, 4)
Инфосекьюрити (Infosecurity) (2, 2)
Солар (ранее Ростелеком-Солар) (2, 2)
Makves (Маквес) (1, 2)
Positive Technologies (Позитив Текнолоджиз) (1, 2)
Другие (10, 13)
Солар (ранее Ростелеком-Солар) (2, 7)
SearchInform (СёрчИнформ) (2, 4)
А-Реал Консалтинг (1, 3)
Makves (Маквес) (1, 2)
Softscore UG (1, 2)
Другие (5, 6)
SearchInform (СёрчИнформ) (2, 2)
Киберполигон (1, 1)
ARinteg (АРинтег) (1, 1)
Cloud4Y (ООО Флекс) (1, 1)
CyberPeak (СайберПик) (1, 1)
Другие (8, 8)
SearchInform (СёрчИнформ) (2, 15)
Перспективный мониторинг (1, 3)
Positive Technologies (Позитив Текнолоджиз) (1, 2)
BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
Makves (Маквес) (1, 1)
Другие (3, 3)
Распределение систем по количеству проектов, не включая партнерские решения
Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 51
InfoWatch Traffic Monitor Enterprise (IWTM) - 46
FalconGaze SecureTower - 38
MaxPatrol SIEM - 33
DeviceLock Endpoint DLP Suite - 31
Другие 345
R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
MaxPatrol SIEM - 2
SETERE: ПК ИСУ Терминал (Интегрированная система управления терминалами защищенного доступа) - 2
Kickidler Система учета рабочего времени - 2
Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 2
Другие 12
Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 4
Solar Dozor DLP-система - 4
А-Реал Консалтинг: Интернет-шлюз ИКС - 3
Solar JSOC - 3
SearchInform FileAuditor - 2
Другие 10