Solar Dozor - Архитектура

Принцип работы Solar Dozor

Solar Dozor состоит из трех функциональных блоков:

Базовый модуль системы (Dozor Core)

Отвечает за реализацию основных функций системы. Состоит из подсистем фильтрации и хранения данных, поиска и управления событиями и инцидентами ИБ, а также механизмов ведения досье персон (сотрудников и контрагентов).

Модули расширения (Dozor Dossier, Dozor UBA, Dozor Long-term Archive, Dozor OCR)

Предоставляют дополнительные инструменты для выявления аномалий, аналитики, построения отчетов, управления долговременными архивами и распознавания графических документов.

Модули-перехватчики (Dozor Mail Connector, Dozor Web Proxy, Dozor Traffic Analyzer, Dozor Endpoint Agent, Dozor File Crawler)

Обеспечивают контроль коммуникаций сотрудников по всем ключевым каналам: корпоративная почта, доступ в интернет, сетевой трафик, действия на рабочих станциях и файлы в корпоративной сети.

Благодаря такому подходу обеспечивается гибкость как в установке, настройке и эксплуатации, так и в лицензионной политике при продаже. Блоки и модули могут комбинироваться и масштабироваться в соответствии с размером организации (от компаний среднего бизнеса до крупных холдингов и органов государственной власти с обширной сетью филиалов).

01
Dozor Core

Базовый модуль системы. Состоит из подсистем хранения, поиска и управления инцидентами, отвечающих за реализацию центрального компонента решения. Может быть расширен опцией долговременного хранения для увеличения плеча и глубины расследований инцидентов. В состав уже входит система оптического распознавания текста (OCR) Tesseract, что позволяет распознавать конфиденциальную информацию в графических файлах, которые присылают для анализа перехватчики. При необходимости можно подключить лицензируемый модуль Dozor OCR, использующий технологии распознавания от ABBYY.

Состав Dozor Core

  1. Подсистема фильтрации вместе с редактором политик безопасности
  2. Подсистема оперативного хранения
  3. Подсистема поиска
  4. Подсистема управления событиями и инцидентами
  5. Подсистема отчетности
  6. Единый интерфейс управления
02
Dozor Long-term Archive

Модуль долговременного (от 6 месяцев до более 10 лет) хранения архива коммуникаций. Позволяет управлять несколькими хранилищами, переносить данные на долгосрочное хранение, отключать и подключать обратно части базы данных сообщений, в том числе можно записать их на ленту, а позже — подключить обратно для расследования. Dozor Long-term Archive будет полезен организациям, которым требуются инсталляции с большим объемом или сроком хранения данных, или же нужно снизить деградацию производительности на больших объемах данных.

03
Dozor OCR

Модуль распознавания текста Dozor OCR позволяет защитить конфиденциальные данные от утечки, даже если они конвертированы в графический формат — отсканированы, сфотографированы, сохранены в PDF, распечатаны, сняты с экрана в виде скриншотов и т. д.

К перехваченным и распознанным сообщениям с графическими файлами применяются политики безопасности и правила обработки документов: полнотекстовый поиск, контентный и контекстный анализ.

В основе модуля Dozor OCR лежат технологии ведущего разработчика OCR-решений — компании ABBYY, что обеспечивает следующие показатели работы:

  1. Производительность и скорость распознавания до 1 ТБ в сутки — до 380% быстрее аналогов
  2. Точность до 98% — на 12% точнее для типовых и на 35% для сложных изображений
  3. Расширенные возможности анализа — удаление шумов, мусора, определение и корректировка ориентации изображения и т. п.

Основные функции:

Поточное распознавание, извлечение и преобразование изображений в текст из графических файлов следующих форматов:

  1. BMP (Bitmap Picture)
  2. JPEG (в том числе JPEG2000)
  3. PNG (в том числе ISO 15948 и RFC 2083)
  4. TIFF (в том числе ISO 12639, ISO 12234-2)
  5. PDF (в том числе IDO 32000, PDF/A, PDF/E, PDF/UA, PDF/VT, PDF/X)

Этапы работы

  1. Ядро системы Dozor Core обнаруживает данные в формате изображений
  2. Обнаруженные изображения передаются на распознавание в Dozor OCR
  3. Dozor OCR распознает изображения и передает извлеченную текстовую информацию обратно в Dozor Core
  4. Dozor Core проверяет полученную текстовую информацию на нарушение политики безопасности организации
  5. В случае обнаружения Dozor Core фиксирует нарушения корпоративной политики
04
Dozor Dossier

Модуль расширенного досье для продвинутой аналитики персон и расследования инцидентов информационной. Аналитические инструменты этого модуля позволяют выявлять скрытые связи сотрудников, строить отчеты по персоне, исследовать интенсивность коммуникаций и используемые при этом каналы. Кроме этого, в модуле Dozor Dossier аккумулируется информация из модуля автоматического анализа поведения пользователей Dozor UBA.

Основные функции

  1. Формирование уровня доверия сотрудника
  2. Агрегирование информации по коммуникациям отдельных персон и групп риска (карта коммуникаций)
  3. Построение графа связей по персонам
  4. Профилирование и выявление аномалий в поведении и коммуникациях сотрудников
  5. Выявление статистических аномалий коммуникаций сотрудников и нетипичных контактов
  6. Агрегирование информации по каналам движения конфиденциальной информации
  7. Инструменты анализа эффективности управленческих решений в области ИБ
  8. Обнаружение изменений в профиле нарушений сотрудника или его внешнего адреса
  9. Анализ данных на основе технологий Business Intelligence, а также получение сводной аналитической информации в формате drill-down
  10. Построение отчетов по расписанию, разово и регулярно, с возможностью автоматической отправки готового отчета на указанный в настройках адрес
  11. Получение подсказок при проведении расследований по следующему рекомендованному шагу
05
Dozor UBA

Dozor UBA — комплексное решение для полноценного анализа поведения персон. Фокус на поведении пользователей позволяет выявлять злоумышленников, поведение которых обычно не отличается от стандартного. Например менеджера по закупкам, иногда использующего аффилированные компании для участия в тендерах. Или инсайдера, незаметно устраивающего утечки время от времени.

Аналитическая модель модуля UBA базируется на теории вероятности, теории случайных процессов и теории графов. При этом не требуется предварительная настройка и адаптация модуля под условия эксплуатации — он полностью интегрирован в Solar Dozor и готов к работе. Состав Dozor Core:

Для предварительного анализа достаточно накопить массив данных о коммуникациях сотрудников за 1 месяц, для точной работы — за 2 – 3 месяца. Если организация уже использует Solar Dozor, то анализ поведения пользователей доступен сразу. Показатели рассчитываются ежесуточно.

Решаемые задачи

  1. Автоматическое выявление персон по паттернам поведения, требующих контроля со стороны безопасности
  2. Отслеживание аномальных групповых поведенческих тенденций для поддержки принятия управленческих решений по снижению рисков
  3. Профилактика массовых утечек
  4. Мониторинг поведения в границах отдельного подразделения.
  5. Выявление ранних признаков утечек, связанных с особенностями и аномалиями поведения персоны
  6. Ретроспективный анализ инцидентов с учетом аномалий в поведении персоны
  7. Предоставление дополнительных сведений для оценки мотивов инцидента.
  8. Выявление приватных связей и неизвестных контактов
  9. Поиск персон, схожих с виновником инцидента
  10. Определение уязвимых персон с учетом степени вовлеченности в бизнес-процессы, характера коммуникаций, использования информационных активов и подозрительных связей
  11. Выявление и контроль влияния структурных и должностных изменений на поведение сотрудников
  12. Определение признаков внешних угроз, в том числе фишинговых атак

Принцип работы

Модуль использует и обрабатывает данные, перехваченные по каналам коммуникации Внутренняя почта, Исходящая почта, Входящая почта. На основе этих данных формируются поведенческие профили персон и выявляются аномалии поведения. При этом для построения корректной аналитической картины достаточно данных, накопленных за 1 — 2 месяца.

Поведение человека описывается в системе с помощью специальных показателей. Значение конкретного показателя в профиле персоны всегда относительно — показатели ранжируются по уровням от 0 до 5 с шагом 0.5 относительно всех персон в компании:

Набор показателей, характеризующий конкретное поведение, называется типом поведения. Например, для сотрудников, работающих с 23:00 до 06:00, можно выделить тип поведения Работа ночью. Один и тот же тип поведения может быть как у одного, так и у нескольких сотрудников. С другой стороны, у сотрудника могут наблюдаться признаки разных типов поведения.

06
Dozor Mail Connector

Модуль контроля коммуникаций, проходящих через корпоративные почтовые системы.

Основные функции

  1. Мониторинг сообщений почтовых серверов: Microsoft Exchange Server, CommuniGate Pro, Zimbra и других популярных SMTP-серверных платформ
  2. Мониторинг и блокирование отправки почтового сообщения, нарушающего политики безопасности, безусловно или до получения подтверждения отправки от администратора безопасности или пользователя (карантин)
  3. Возможность удаления нарушающих политику частей сообщения и реконструкции почтовых сообщений, в том числе части содержимого вложенных архивов, или добавление стандартных подписей в тело сообщения

Этапы работы

  1. Прием копии сообщений корпоративной почты от почтового сервера с применением правил журналирования или при помощи fetchmail
  2. Направление полученных почтовых сообщений на фильтрацию в соответствии с настроенной политикой
  3. Блокировка (помещение в карантин) сообщений, нарушающих настроенные политики безопасности
  4. Маршрутизация исходящей почтовой переписки через сервер ПК Solar Dozor при установке системы в разрыв сети

На корпоративную почту приходится более 50% всех утечек данных и мошеннических схем, поэтому ее рекомендуется контролировать в полном объеме. Режим контроля (мониторинг или блокировка) зависит от задач безопасности и критичности утечки информации в организации.

07
Dozor Traffic Analyzer

Модуль перехвата и распознавания сетевого трафика (сниффер) разбирает, анализирует и восстанавливает сообщения, передаваемые по протоколам прикладного уровня, извлекает из сообщений контент и отправляет их в Dozor Core для анализа и хранения.

Основные функции

Перехват данных:

  1. Веб-почты
  2. Социальных сетей, форумов, блогов
  3. Сервисов передачи файлов
  4. Сервисов мгновенных сообщений
  5. Почтовых протоколов
  6. Сервисов поиска работы

Этапы работы

  1. Захват входящего и исходящего трафика (зеркалирование со SPAN-порта или ICAP с прокси-сервера), пересборка пакетов
  2. Обработанный трафик анализируется средствами Dozor Traffic Analyzer
  3. В результате анализа сформированное сообщение отправляется в Dozor Core на фильтрацию согласно настроенным правилам политики

Модуль Dozor Traffic Analyzer, необходимый для анализа SPAN-трафика — обязательное связующее звено при интеграции прокси-сервера и Solar Dozor.

08
Dozor Web Proxy

Модуль для контроля доступа сотрудников и приложений к веб-ресурсам и защиты веб-трафика от вредоносного ПО и навязчивой рекламы, которая может содержать вредоносные скрипты или собирать пользовательские данные. В Dozor Web Proxy применяются следующие механизмы безопасности:

  1. Аутентификация и авторизация — обеспечивают контроль доступа сотрудников и приложений к веб-ресурсам
  2. Расшифровка HTTPS-трафика — дает возможность проверять зашифрованный трафик и передавать его DLP-системе
  3. Проверка веб-трафика по ключевым словам — предотвращает утечку конфиденциальной информации
  4. Блокировка рекламы, запрет доступа к зараженным сайтам и интеграция с любым антивирусом — защищают от вредоносного ПО и фишинга
  5. Очистка трафика от различных скриптов, собирающих из браузера информацию о пользователях (куки) — защищает личные данные сотрудников, которые могут быть использованы в том числе и для таргетированной атаки

Основные функции

  1. Идентификация и аутентификация сотрудников при доступе к интернет-ресурсам по протоколам HTTP, HTTPS и FTP over HTTP
  2. Анализ веб-трафика (запросов и ответов протоколов HTTP и FTP over HTTP) по произвольным полям сетевых пакетов, в том числе: точный адрес, домен, часть адреса, IP-адрес, имя пользователя и набор групп пользователя, тип протокола, имя хоста и порта, строки и время запросов и т. п.
  3. Блокировка доступа, разрешение доступа — явное и после подтверждения пользователем, а также блокирование рекламных баннеров
  4. Архивирование данных о передаваемой информации по результатам анализа
  5. Формирование статистических отчетов по критериям: адрес сайта, время доставки информации и ее объем, и т. д.
  6. Просмотр собранной в процессе мониторинга информации администраторами безопасности
  7. Предоставление идентифицированным администраторам безопасности возможности настройки функций безопасности
  8. Категоризация интернет-ресурсов встроенными механизмами и при интеграции с системами Symantec Blue Coat, Kaspersky, SquidGuard и других

Этапы работы

Dozor Web Proxy подключается к корпоративной сети «в разрыв потока» и контролирует все данные, передаваемые между сотрудниками организации и интернет-ресурсами. При фильтрации данных применяются методики, которые основываются в том числе на служебных сведениях. Они позволяют выполнять подробный анализ передаваемых данных и определять их формат, кодировку, заголовки сетевых пакетов и язык (для текстовой информации).

  1. При обращении к интернет-ресурсу приложение проходит аутентификацию в Dozor Web Proxy. Возможна прозрачная аутентификация, для отдельных ресурсов — настройка доступа без запроса аутентификации
  2. Dozor Web Proxy применяет соответствующую политику безопасности, исходя из полученных на этапе аутентификации данных о пользователе, сервере назначения, а также технических параметров запроса
  3. Если передача данных разрешена по политике, запрос от приложения передается на сервер назначения
  4. Полученный ответ от сервера назначения также проверяется на соответствие настроенной политике безопасности и при положительном результате передается приложению-источнику запроса
  5. Если запрос или ответ не соответствуют политике безопасности, то вместо них пользователь получает подготовленную страницу с описанием запрета, а приложению отказывается в доступе
09
Dozor Endpoint Agent

Модуль контроля рабочих станций. Перехватывает и анализирует данные, блокирует определенные действия и доступ к отдельным приложениям и устройствам, контролируя поведение пользователей на рабочем месте.

Dozor Endpoint Agent отслеживает печать на принтере, буфер обмена, съемные носители, системы мгновенного обмена сообщениями (Skype и др.), нажатие клавиш, а также активность пользователей и отдельных приложений на рабочей станции. Его можно настроить на работу в режиме активного противодействия, т. е. при необходимости в зависимости от контента запрещать копирование файлов, блокировать буфер обмена, отправку через браузеры — безусловно или до подтверждения пользователя. Кроме того, модуль может делать снимки рабочего стола пользователя по нажатию определенных клавиш, например Enter или Print Screen, или через определенные периоды времени.

Dozor Endpoint Agent также можно использовать для контроля работы пользователей на терминальных серверах.

Основные функции:

Dozor Endpoint Agent контролирует следующие каналы передачи информации:

  1. Печать документов через локальный или сетевой принтер
  2. Копирование файлов на внешние устройства (в том числе по протоколу MTP)
  3. Передача файлов конкретными приложениями, в том числе iTunes, Dropbox и Яндекс.Диск, а также через браузеры
  4. Запуск приложений
  5. Передача данных по протоколу HTTPS
  6. Передача сообщений, звонков и файлов через приложения Skype for Business и Viber
  7. Буфер обмена
  8. Копирование изображений с экрана пользователя

Принцип работы

Установка и работа модуля Dozor Endpoint Agent происходят на уровне ядра операционной системы и незаметны для сотрудника. Это позволяет использовать Dozor Endpoint Agent для активного противодействия утечкам, в том числе с применением анализа содержимого, а также собирать трафик с протоколов, которые технически нельзя перехватить на шлюзе.

Для обеспечения высокого уровня информационной безопасности рекомендуем установить Dozor Endpoint Agent на рабочие станции всех пользователей.

10
Dozor File Crawler

Модуль позволяет проводить инвентаризацию содержимого файловых хранилищ (общедоступных файловых обменников и локальных жестких дисков рабочих станций), выявляя нарушения правил хранения конфиденциальной информации.

Важным отличием Dozor File Crawler является использование принципа централизованной обработки. В отличие от discovery-решений, реализованных на клиентских агентах, Dozor File Crawler сразу аккумулирует результаты своей работы в одном месте и предоставляет пользователю целостную картину всех сегментов корпоративной сети.

Основные функции

  1. Контроль содержимого сетевых ресурсов и компьютеров пользователей
  2. Выявление нарушений корпоративных политик хранения конфиденциальной информации
  3. Поиск и классификация корпоративных данных с помощью автоматического сканирования общедоступных файловых ресурсов
  4. Контроль распространения информации в рамках компании, между отделами и группами пользователей

Сканирование сети для построения дерева сети и обнаружения неавторизованных запущенных сервисов.

Этапы работы

  1. Для выявления рисков хранения конфиденциальных данных Dozor File Crawler составляет наглядную карту сети и хранения информации в организации
  2. Карта отображает все доступные директории (файловые хранилища, серверы приложений, сетевые устройства вывода, почтовые серверы, закрытые директории и рабочие станции сотрудников) и хранимые документы — как общедоступные, так и скрытые и системные
  3. Гибкие средства планирования задач и расписания проверок Dozor File Crawler позволяют непрерывно контролировать безопасность компании в полностью автоматическом режиме
  4. При обнаружении конфиденциальных документов и нарушении политик безопасности это событие отображается в едином ситуационном центре — на «рабочем столе руководителя» офицера безопасности
  5. Все данные, события и инциденты безопасности привязываются к конкретному сотруднику и категориям защищаемой информации. В досье на сотрудника появляется копия документа и вся информация о нем: какие правила политики безопасности нарушены, кто владелец файла, где он размещен

Solar Dozor – DLP-система с фокусом на человеке

Предотвращает утечки информации, анализирует действия пользователей и помогает проводить расследования

Спасибо!
Ваша заявка принята

В ближайшее время с Вами свяжется наш менеджер

Спасибо!

Теперь вы будете в числе первых получать новости о наших продуктах