Solar Dozor - DLP решение Solar Dozor: защита информации от утечки

Описание Solar Dozor

Solar Dozor — система для предотвращения утечек конфиденциальной информации (Data Leak Prevention, DLP) и выявления признаков корпоративного мошенничества. Ее возможности обеспечивают контроль коммуникаций сотрудников, блокировку или реконструкция нежелательных сообщений, а также ретроспективный анализ архива коммуникаций для проведения расследований.


Предотвращение утечек конфиденциальной информации

Для защиты от утечек конфиденциальной информации Solar Dozor использует специализированные модули-перехватчики. Они собирают и передают на анализ все сообщения сотрудников, контролируют действия пользователей на персональных компьютерах, а также проверяют локальные и облачные файловые ресурсы.

Защищаемая информация может быть представлена в текстовом, графическом или бинарном виде: как сообщения в электронной почте, мессенджерах, веб-ресурсах и социальных сетях, технические чертежи САПР, документы Microsoft Office, отсканированные счета, голосовые сообщения, видеофайлы, архивы и т. д.

В зависимости от технических особенностей для каждого канала подбирается оптимальная точка перехвата информации — на почтовом сервере, сетевом шлюзе, прокси-сервере или рабочей станции. Это дает возможность равномерно распределить нагрузку на ИТ-инфраструктуру и обеспечить непрерывность бизнес-процессов организации.

Перехваченные данные анализируются в основном модуле Solar Dozor с помощью комплекса настраиваемых правил, отражающих актуальные задачи безопасности организации. По результатам анализа принимается решение о блокировке нежелательного действия или уведомлении офицеров безопасности о подозрительном поведении. Уникальная функция реконструкции сообщений позволяет удалять или заменять содержимое перехваченных почтовых сообщений на заранее подготовленный вариант. Это дает дополнительные возможности по предотвращению утечек и проведению сложных оперативных комбинаций — например, дезинформации получателя.

В отличие от ряда решений, позиционирующих себя как DLP-системы, но по факту ими не являющихся, Solar Dozor может ставиться в разрыв трафика. Это позволяет надежно блокировать передачу конфиденциальной информации в реальном времени, а не просто констатировать факт утечки. При интеграции с системой контроля и управления доступом (СКУД) Solar Dozor также может заблокировать пропуск сотрудника при попытке организовать утечку данных.

Проведение расследований

Вся собранная Solar Dozor информация может помещаться в архив и использоваться для расследования инцидентов ИБ и выявления признаков корпоративного мошенничества. В отличие от конкурирующих решений, Solar Dozor позволяет осуществлять мгновенный поиск по всему архиву коммуникаций. При этом не нужно составлять сложные поисковые запросы, требующие наличия профильного ИТ- или ИБ-образования. Это дает возможность работать с системой специалистам служб экономической и собственной безопасности организации, комплаенса, HR-департамента и т. д. Кроме этого, в системе реализованы поисковые шаблоны, отражающие многолетний опыт использования Solar Dozor в различных организациях России.

Solar Dozor автоматически ведет досье для каждой персоны, которой может быть сотрудник или контрагент организации. В нем представлены все данные по активности персоны и инструменты для дальнейшего анализа (скриншоты интерфейса, граф связей с другими персонами, персонализированные отчеты и т. д.). Профилирование сотрудников и автоматическое выявление аномалий в их поведении на ранней стадии позволяют минимизировать ущерб от злонамеренных действий.

Для контроля активности сотрудников на персональных компьютерах Solar Dozor использует специализированный перехватчик — Endpoint Agent. Он скрытно функционирует на десктопе или ноутбуке сотрудника, не отображается в процессах и не оказывает заметного влияния на производительность. Отследить и удалить этот перехватчик стандартными средствами администратора невозможно.

Применение Endpoint Agent позволяет контролировать использование USB-устройств, сетевых дисков, принтеров и буфера обмена, отслеживать нажатие клавиш и запущенных приложений, а также делать снимки рабочего стола. Возможна централизованная распределенная установка агента, в том числе с использованием золотого образа Citrix.

Анализ действий сотрудников и контрагентов может стать для офицера безопасности главным источником признаков зарождающихся угроз. Перед совершением преступления любой злоумышленник проводит подготовительные действия и неосознанно оставляет следы, которые являются отклонением от нормы. Solar Dozor легко отслеживает такое поведение, своевременно замечая аномалии в поведении сотрудников.

Единый интерфейс Solar Dozor позволяет мгновенно переходить к интересующему событию или документу (концепция drill-down — «углубление в данные»), что дает возможность оперативно анализировать обстановку, проводить сложные расследования и минимизировать ошибки, связанные с человеческим фактором. Возможна интеграция с внешними ИТ-системами, такими как SIEM, HRM, MDM, IdM, для получения контекстной информации о сотрудниках и инцидентах.

Правила выбора DLP-системы

Планируя внедрение DLP-системы, офицер информационной безопасности ставит высокие цели в борьбе с утечками информации и расследовании случаев подозрительного поведения сотрудников, которые могут нанести ущерб организации. В большинстве случаев промышленному внедрению предшествует пилотный проект, в ходе которого достигаются промежуточные результаты и принимается решение о выборе того или иного продукта. Тем не менее для пробной эксплуатации часто выбирается ограниченное число контролируемых рабочих станций, в результате не представляется возможным проверить решение под большими нагрузками трафика, а из-за сжатых сроков не доходят руки до апробации ключевого функционала системы в полном объеме.

Понимая все особенности выбора и эксплуатации DLP-систем, команда Solar Dozor делает все возможное, чтобы пользователи решения достигали своих целей и не тратили лишнее время на борьбу с техническими проблемами.

01
Снижение False-positive как философия

Одно уведомление – ура! Два – давайте еще! 1500 – пощады! Когда DLP-решение встало в инфраструктуру и на него пошел трафик, начинают приходить уведомления о вероятных утечках информации. В первые моменты ИБ-специалиста захватывает азарт, ему кажется, что больше ничего делать не нужно, только фиксировать нарушения и сообщать руководству о положительных результатах от внедрения. Но эйфория заканчивается очень быстро, особенно в организациях с большим количеством сотрудников. В течение дней службу безопасности заваливают уведомлениями DLP-системы, разобрать которые вручную не представляется возможным. Остается открытым вопрос, какие из них действительно являются утечками информации, а какие ложными срабатываниями.

РЕАЛИЗАЦИЯ ПРИНЦИПА PEOPLE-CENTRIC SECURITY

Solar Dozor, в отличие от аналогичных решений, помогает выявить сами причины утечек информации, а не их симптомы. Мониторинг сотрудников вместо контроля информации изменяет привычное представление о DLP и позволяет получить совершенно новые результаты от внедрения.

Такие технологии, как Досье, Группы риска, Топ нарушителей, Индекс доверия, Граф связей, выявление аномалий в поведении сотрудников (UBA) нацелены на раннее прогнозирование угроз и снижение числа «неожиданных» критичных инцидентов.

ПРИОРИТЕТНЫЙ МОНИТОРИНГ ГРУПП РИСКА

Solar Dozor позволяет фокусировать внимание аналитика на наиболее опасных сотрудниках, не отвлекаться на второстепенные задачи и автоматически узнавать о потенциальных угрозах.

Группы особого контроля и готовые срезы данных вместе с интеллектуальным индексом доверия сотрудника фокусируют внимание безопасника на критичных инцидентах и снижают время работы с решением.

02
Быстрый результат

Зачем вообще внедряются технические средства обеспечения информационной безопасности? Правильно, чтобы автоматизировать работу ИБ-службы. Поэтому, когда сложности внедрения и недостатки интерфейсов начинают требовать слишком больших временных и человеческих ресурсов, встает вопрос о целесообразности внедрения решения.

По опыту клиентов Solar Dozor, в среднем офицер информационной безопасности тратит на работу с DLP-системой около двух часов в день. Мы нацелены на то, чтобы за это небольшое время безопасник мог выполнить все поставленные задачи и даже больше.

БЫСТРАЯ УСТАНОВКА И НАСТРОЙКА

Начиная с инсталляции и заканчивая конфигурацией системы, вся работа ведется в удобных графических мастерах установки. Они позволяют выбирать параметры по умолчанию или детально настраивать параметры системы.

Удобство использования интерфейсов решения конвертируется в сокращение сроков внедрения и снижение трудозатрат на эксплуатацию.

АНАЛИЗ ОПЕРАТИВНОЙ ОБСТАНОВКИ ЗА 15 МИНУТ

Инструменты визуализации помогают легко анализировать неструктурированные данные архива коммуникаций и находить в нем ранние признаки внутренних угроз.

Специально для этого создан Рабочий Стол Аналитика, Досье и графические отчеты. Они помогают очень легко и быстро оценивать оперативную обстановку и расследовать инциденты.

БЫСТРОЕ ВЫЯВЛЕНИЕ НАРУШИТЕЛЕЙ

Уникальная методика фокусного мониторинга позволяет в кратчайшие сроки получать бОльшие результаты от пилотного проекта и без больших усилий выявить нарушителей.

Сканирование исторического архива электронной почты увеличивает шансы найти инциденты, произошедшие еще до внедрения DLP-системы.

БЫСТРЫЙ ПОИСК

Строка поиска сопровождает безопасника по всему интерфейсу системы, чтобы он мог находить нужные объекты меньше чем за секунду. И время отклика всегда < 1 секунды, будь то архив коммуникаций в 1Гб или десятки терабайт.

Благодаря отделению оперативного архива от файлового хранилища и сквозной интеграции поиска в интерфейс достигается моментальная отработка поисковых запросов на любых объемах. Данная система построена на нереляционной БД и Elastic Search.

03
Эффективный перехват и блокировка

Современная организация использует несколько десятков каналов коммуникации. В зависимости от заложенной архитектуры DLP-решения, технических возможностей и таланта инженеров, трафик удается перехватывать в различных точках инфраструктуры. Удачная схема расстановки сенсоров - это всегда борьба между возможностями, удобством и производительностью.

Solar Dozor удается найти правильный баланс, чтобы перехватывать максимум трафика и в то же время не доставлять пользователям неудобств, вовлекая их в процесс обеспечения информационной безопасности.

СЕТЕВОЙ ПЕРЕХВАТ КАК ПРИОРИТЕТ

Большую часть трафика, включая шифрованный, Solar Dozor перехватывает на сетевом шлюзе, таким образом не влияя на быстродействие рабочих станций сотрудников.

Агент для рабочей станции перехватывает только коммуникации и активности, которые невозможно снять на сетевом уровне.

СТАБИЛЬНАЯ РАБОТА В РАЗРЫВ НА ЛЮБЫХ ОБЪЕМАХ ТРАФИКА

Solar Dozor способен работать не только с копией трафика, но также поддерживает установку «в разрыв», чем может похвастаться далеко не каждая DLP-система.

Благодаря собственному email-сендеру Solar Dozor показывает стабильный перехват и отправку сообщений «в разрыв» на очень больших потоках трафика.

БЛОКИРОВКА И РЕКОНСТРУКЦИЯ СООБЩЕНИЙ ПОВЫШАЮТ КУЛЬТУРУ ИБ

Уведомление сотрудника в случае блокировки письма предотвращает случайные утечки и формирует культуру информационной безопасности (Security Awareness) в организации.

Если лишь часть информации в сообщении носит конфиденциальный характер или письмо не предназначено для некоторых адресатов, безопасник может легко его изменить, а не блокировать целиком.

04
Стабильность и производительность

Все организации очень разные. Численность сотрудников, особенности инфраструктуры, объемы трафика, готовность ИТ-службы – все это играет огромную роль при внедрении DLP-системы. И там, где работает одно решение, другой поставщик не сможет даже пропилотироваться.

Solar Dozor, будучи enterprise-решением, выбирает путь обеспечения максимальной стабильности, производительности и удобства использования в крупных организациях.

ПРОСТОТА ИНТЕГРАЦИИ В СЛОЖНЫЕ ГЕТЕРОГЕННЫЕ ИНФРАСТРУКТУРЫ

Solar Dozor встраивается в любую инфраструктуру без конфликтов с другим ПО или изменения архитектуры и организационных процессов.


Средства интеграции с почтовыми и прокси-серверами, сетевым оборудованием и другими средствами защиты позволяют избежать большинства ситуаций, когда требуется изменение сетевой инфраструктуры организации.

СВОБОДА ХРАНЕНИЯ И МАСШТАБИРОВАНИЯ

Архив коммуникаций, построенный на технологиях BigData, позволяет реализовать любую программу хранения в соответствии с имеющимися мощностями и планами по масштабированию.

В решении для скорости и надежности разделены оперативное и долговременное хранилище, а подтвержденная нагрузка на укладку в архив достигает 2,5 Тб в сутки.

МОМЕНТАЛЬНАЯ ДОСТУПНОСТЬ АРХИВА

«На лету» перехватывает и моментально складывает данные в архив для анализа. Никаких задержек на индексацию даже в организациях с десятками тысяч сотрудников.

Благодаря BigData-архитектуре архива ИБ-специалист видит перехваченный трафик в виде событий и сообщений и сразу приступает к разбору.

ВЫСОКАЯ ОТКАЗОУСТОЙЧИВОСТЬ И ГАРАНТИРОВАННОЕ ВОССТАНОВЛЕНИЕ

Модульная архитектура позволяет распределить нагрузку и развернуть Solar Dozor на любом старом железе.

Архитектура хранения обеспечивает быстрое восстановление базы инцидентов даже после полной потери основной копии.

05
Автоматизация расследований

Когда в организации 50 человек, системный администратор может вручную мониторить сотрудников. Другое дело на крупном предприятии, DLP-система оперирует огромными объемами событий, которые квалифицируются как инциденты. Эта система просто не может существовать в хаосе.

В Solar Dozor автоматизации рутинных процессов уделяется огромное внимание. В нем фактически реализован собственный таск-менеджер, а специальный рабочий стол с верхнеуровневыми метриками высоко ценится руководителями.

РАБОЧИЙ ПРОЦЕСС РАССЛЕДОВАНИЙ

Встроенный процесс по управлению инцидентами и расследованиями самостоятельно реализует систему управления задачами подразделения ИБ.

Имея четкий процесс, удается организовать управляемый и контролируемый конвейер расследований и распределять нагрузку внутри ИБ-подразделения.

ВИЗУАЛЬНЫЙ ПОИСК НАРУШИТЕЛЕЙ

Встроенные аналитические средства практически не оставляют шанса не найти нарушителя. Не нужно использовать сторонние системы для анализа данных, например, Microsoft Excel, BI-системы и т.п.

Графы связей сотрудников, тепловые карты коммуникаций, отчеты по персоне и другие визуальные средства снижают время на оперативный мониторинг и расследования инцидентов.

НАГЛЯДНЫЕ ОТЧЕТЫ

Отчеты системы сделаны не «для галочки», а чтобы в течение минуты можно было понять ситуацию по внутренним угрозам в организации. Такие отчеты не стыдно распечатать и положить на стол ТОП-менеджерам.

Наличие отличных отчетов значительно помогает доносить результаты работы службы ИБ руководству, а также обосновывать бюджеты на расширение.

Solar Dozor – первая российская DLP-система

Первый релиз Solar Dozor состоялся в 2000-м году. Сегодня системой пользуются несколько сотен крупнейших компаний России.
Указан неверный адрес подписки.

Первыми получайте новости о наших продуктах на свой e-mail.

Спасибо!
Ваша заявка принята

В ближайшее время с Вами свяжется наш менеджер

Спасибо!

Теперь вы будете в числе первых получать новости о наших продуктах