Компания «Ростелеком-Солар» выпустила новую версию своей DLP-системы – Solar Dozor 7.5. Основные новинки релиза: агент для мониторинга рабочих станций под управлением macOS, контроль данных в корпоративном мессенджере Cisco Webex Teams, а также детальная отчетность о поведении сотрудников.

Рабочие станции персонала, поясняют в «Ростелеком-Солар», – один из ключевых объектов мониторинга для DLP-систем, поэтому в новой версии сделан серьезный шаг в развитии endpoint-агента. Теперь Solar Dozor имеются агенты для мониторинга рабочих станций под управлением всех трех ведущих мировых ОС. Кроме того, компания планомерно расширяет количество контролируемых каналов, уделяя внимание набирающим популярность мессенджерам, как частным, так и корпоративным. В продолжение развития модуля анализа поведения пользователей Dozor UBA в новой версии он дополнен детализированными отчетами.

По оценкам аналитиков «Ростелеком-Солар», в российских компаниях на рабочих станциях под управлением macOS работает от 5 до 50% сотрудников, в зависимости от специфики деятельности организации. Это и руководители компаний, на чьих ноутбуках содержится ключевая финансово-экономическая информация, и ведущие ИТ-специалисты – разработчики, архитекторы, дизайнеры UI/UX, владеющие конфиденциальной технической информацией, базами данных, стратегией развития ИТ-продуктов и услуг, и специалисты других направлений – дизайнеры, маркетологи, работающие с договорами, конкурсной документацией, базами данных клиентов, информацией о рыночном развитии продуктов и услуг и т.п. Утечка подобных сведений, подчеркивают в «Ростелеком-Солар», оборачивается серьезными последствиями для бизнеса.

Для защиты чувствительных данных компаний на рабочих станциях под управлением macOS в состав обновления Solar Dozor 7.5 вошел новый модуль Dozor Endpoint Agent for macOS, в дополнение к ранее реализованным Window и Linux-агентам. Как утверждают разработчики, на данный момент это единственный на российском рынке macOS-агент, контролирующий веб-ресурсы, данные в мессенджерах и локальную почту на компьютерах Apple. В частности, система выполняет перехват данных, передаваемых через каналы HTTPS (поисковые запросы, сообщения в веб-почте, соцсетях), переписки и отправляемых документов в Skype и WhatsApp (desktop и web), а также перехват сообщений и файлов, пересылаемых через почтовые клиенты по протоколам SMTP, POP3, IMAP. Агент можно установить на рабочие станции как с помощью графического инсталлятора, если регламенты компании требуют ручной установки, так и в автоматическом режиме, используя специальные средства развертывания.

Кроме того, в версии 7.5 появилась возможность контролировать еще один канал обмена информацией – корпоративный мессенджер Cisco Webex Teams. Теперь с помощью функциональности модуля Dozor File Crawler можно настроить систему так, что все сообщения и файлы, отправленные сотрудниками в личных или общих чатах Cisco Webex Teams, будут поступать в Solar Dozor и проходить проверку по условиям политики безопасности организации. При этом доступна история Webex-сообщений, отправленных сотрудниками даже до того, как в компании был установлен Solar Dozor 7.5. Система сможет проанализировать всю переписку сотрудников, историю изменений Webex-сообщений (исходные, отредактированные и удаленные версии), а также предоставить статистику по сообщениям (количество переданных сообщений и документов за все время или за последние 24 часа).

Анализ поведения пользователей (UBA) – одна из технологий, позволяющая выявлять ранние признаки корпоративного мошенничества, зарождение коррупционных схем, предпосылки к возникновению утечек информации и т.п. В новой версии Solar Dozor появилась возможность получить сведения о поведении сотрудников в виде отчета в формате PDF. Специалисты служб ИБ смогут быстрее выявлять отклонения и опасные тенденции в поведении персонала, оперативно предоставлять руководству необходимую отчетность.

Пользователь системы может сформировать отчет, содержащий сведения о поведении сотрудников, относящихся к одному из 20 паттернов («работа ночью», «поиск работы», «мертвые души» и т.п.). В отчете отобразятся особые контакты сотрудников, индекс уязвимости, количество событий безопасности и аномалий в поведении. Можно также сформировать отчет и по конкретному сотруднику за период 45 дней. В него войдут как общие сведения о работнике, так и история поведенческих особенностей: динамика индекса уязвимости, внутренней и внешней активности, отправки и получения информационных объектов, все аномалии поведения, список особых контактов – рабочая и приватная эго-сети, неизвестные контакты.

Дополнен и модуль Dozor Endpoint Agent для Windows – в частности, в новой версии можно настроить контроль печати на принтере и операций с буфером обмена для заданного списка приложений. Такой сфокусированный контроль уменьшает нагрузку на рабочие станции и минимизирует конфликты с ПО, в мониторинге которого нет необходимости.

Кроме того, с помощью модуля Dozor Endpoint Agent можно заблокировать передачу защищенных паролем или поврежденных архивов. Это позволяет предотвратить утечку конфиденциальных данных в зашифрованных архивах по всем многочисленным каналам, контролируемым агентами на рабочих станциях пользователей. Поддерживаются наиболее распространенные форматы архивов: ZIP (.zip), RAR4, RAR5 (.rar), 7-zip (.7z), ARJ.

Ключевой информацией для принятия решения об установке endpoint-агента на ту или иную конечную точку является ФИО сотрудника с привязкой к рабочей станции. Раньше эту информацию можно было получить в интерфейсе Solar Dozor только после установки полнофункционального endpoint-агента. Начиная с версии 7.5, ФИО сотрудника, вошедшего на рабочую станцию, отображается сразу после установки на нее «легкого» средства развертывания (Updater). Эти сведения позволяют быстро узнать, какие рабочие устройства официально закреплены за конкретным сотрудником, и установить на них агент.