Для начала поясню, почему решила написать «вторую серию». В прошлом обзоре я описала опыт работы с КИБ, с которым тесно работала много лет. И в комментариях к статье получила комменты, что с тех пор утекло много воды и нужно бы посмотреть, что изменилось.
К счастью, прошедший год был насыщенный, к сожалению, не успевала за развитием многих систем на рынке.
Первым из тех, по кому хочу актуализировать знания, будет именно КИБ SearchInform, что вполне логично, так как с этим решением я работала дольше, чем с любым другим, и мне конечно же очень интересно, что там происходит у вендора. Поэтому от предложения в комментариях протестировать новую версию софта я не стала отказываться.
Полноценного тестирования до конца года провести не получилось, но немного погрузиться в изучение новинок все-таки мне удалось.

Итак, по порядку.

Консоль аналитика

Кто знает меня или читал мой предыдущий обзор, в курсе, что я давно жду консоль аналитика от вендора. И вот, наконец, она вышла!
Визуально она мне понравилась, потому что чего-то сверх навороченного в ней не появилось (чтобы было бы плохо, мне кажется), но при этом она совместила то, что удобно иметь в одной консоли – общий клиент, репорт-центр и профайл-центр.



В текущих релизах в нее еще не встроен алерт-центр (он остался без особых визуальных изменений), но, например, меня это не пугает, потому что в последнее время чаще занимаюсь точечным мониторингом сотрудников, чем настройкой политик и созданием правил для отлова всяких вкусняшек.
Для работы с событиями мне всегда был более удобен общий клиент.
Также отдельным окном в консоль вынесли из общего клиента модуль онлайн-наблюдения за компьютером (LiveView), что мне тоже понравилось, потому что им я пользуюсь довольно часто. С другой стороны, отделение его от общей консоли просмотра удобно, не люблю, когда все в одном окне и постоянно одно сбрасывает другое.
Ну и присутствие в той же консоли всех возможных отчетов бывшего репорт-центра – это большой плюс.
Так что я довольна таким изменением.

Веб-версия

Симпатичная и тоже вполне простая, для любителей минимализма сразу плюс. В ней пока воплощены веб-версии алерта и репорта. Администрирование алерта при этом осталось в толстом клиенте, но обещают скорый перенос – также в веб.



Далее про разные новые фишки, которые считаю полезными и правильными.

Файловый аудитор

Новый модуль, который теперь выступает универсальным сканером пространств с возможностью выхватывания теневых копий и разметки документов. Ранее эту задачу приходилось решать двумя разными модулями – файл контроллером и ИРС. Второй, к слову, так же переработан и стал на порядок быстрее и удобнее в настройке.

Сканирование облачных хранилищ

Вещь скорее всего востребованная, потому что в облака с каждым днем улетает все больше и больше компаний. По сути это тоже сканер, который соберет теневые копии, разметит файлы и даст возможность с ними работать, в том числе посредством политик алерт-центра.

Съемные носители

Теневая копия файлов, находящихся на съемном носителе.
Вот это круто, правда. Сколько проблем я лично испытала с тем, когда очень было надо посмотреть, а что же там за файлы на флэшке, которую сотрудник подключил к компу. Долго сидишь и ловишь на видео момент в надежде, что сотрудник их хотя бы частично открывал.
Шифрование данных, записываемых на носитель. Кому-то будет полезно, ну и меньше заморочек с дополнительными средствами шифрования для флэшек. Тонкая настройка параметров прав записи на носитель. По размерам файлов, например.

Кейлоггер

Появилась галочка, нажав которую можно перестать завязывать глаза при мониторинге, а просто перестать видеть пароли.
Радуйтесь борцы за свободу и всадники GDPR!

Перехват мессенджеров

Один из самых популярных, мне кажется, вопросов у клиентов. Причем любят спрашивать даже про те мессенджеры, которые в компании не используются вообще, либо использует 1 человек. Ну да ладно.
Так вот. В новом КИБе перехватывается все из наших любимых ватсапа, телеги и вайбера в обоих вариантах: веб и десктоп. Кстати, это, видимо, эксклюзив, в части ватспапа точно.

Работа почты в режиме блокировки

Есть поддержка всех самых используемых протоколов: IMAP, NNTP, POP3, SMTP, HTTP (S), и MAPI.
Перехват реализован для перечисленного, в том числе, с использованием s\mime. Блокировка доступна для исходящих протоколов, опять же включая MAPI и s\mime.

Видео рабочего стола и веб-камеры

Появился модуль контроля изображений с веб-камеры, то есть у каждого инцидента теперь есть «человеческое лицо». Аналогично формату скриншотов можно включить запись только в привязке к определенным процессам или даже сайтам.

Linux

Контроль трафика на всем семействе Astra Linux, Ubuntu и CentOS. Скоро обещают, что добавится и device sniffer.

Агенты

Одно из моих любимых.
Добавился контроль агентов. Если в течение какого-то времени агент не отстукивает серверу, запускается его переустановка.
Причем теперь агенту для обновления нужен только интернет для коннекта с сервером и даже необязательно нахождение внутри корпоративной сети.

Репорт-центр

Его больше нет как отдельной сущности. Аллилуйя! А еще забываем о постоянной синхронизации его баз – теперь она циклична.

Профайл-центр



Его польза для меня очевидна. Зачем ловить постфактум инциденты, если какую-то часть из них можно предвидеть. Да и знать своего сотрудника не только в лицо для меня прямо хлебушек с маслом.
Как это работает в технике мне сказать сложно, но визуально вкладка с ним выглядит очень скромно и минималистично, а значит не надо мучиться с настройками.
Честно сказать, кому какое дело, как там работают эти алгоритмы. Люди, которые разрабатывали этот продукт, явно много лет посвятили профайлингу и работе с живыми людьми. Если бы такой разработкой занялись люди, которые могут быть супер-разработчиками и супер-инженерами, но в психологии ничего не понимают, то тогда это было совсем странно.
Надо тестировать. Потребности на рынке в таком продукте точно есть, особенно в службах безопасности и очень продвинутом HR. Ну и конкурентов как минимум на российском рынке UBA и DLP особо-то и нет.
По словам вендора, в среднем 1-2 месяца нужно накапливать данные для построения достоверного портрета сотрудника. Да, как в фильмах путем мгновенного высасывания мозга через ухо пока не работает, если кто мечтал об этом.

Скорость поиска

Про быстроту поиска и изменилось ли в ней что-то, ничего сказать не могу, визуальным анализом этого не поймешь. Разработчик рассказывает о выпуске принципиально нового поискового движка, лишенного старых проблем. Объясняется новой 64х архитектурой, не имеющей программных ограничений (как было в старом движке) по памяти, ядрам и потокам. С технической точки зрения звучит вполне обоснованно, но сама о реальной скорости судить не берусь. Нужны данные. Много реальных данных…

Еще раз дайджест:

— интерфейс не утратил своей простоты и понятности;
— общий клиент с репортом поженились и усыновили профайл-центр, так получилась дружная семья — консоль аналитика;
— алерт-центр пока не сдается и живет в отдельной квартире;
— LiveView теперь в отдельном окошке объединенной консоли;
— кейлоггер сдался и включил режим запрета сбора паролей;
— агенты научились бороться с жестокостью этого мира и теперь используют переустановку в автоматическом режиме, мониторинг собственной работоспособности и прочие плюшки;
— загадочный профайл-центр выглядит весьма дружелюбно;
— теневая копия данных, находящихся на флэшке, — для особо фанатеющих от своей работы офицеров безопасности;
— морально готовым к переходу на линуксы можно уже начинать радоваться;
— атавизм файлового контроллера реикарнировал в крутой сканер с разметкой данных;
— телеги, сани, лыжи и прочие ватсапы: мы вас не боимся, мы вас перехватываем во всех позах;
— сканирование облаков для тех, кто идет в ногу со временем.

Ну вот, постаралась собрать по поверхности сливки и немножко проанализировать основные изменения КИБа.
Надеюсь, что у меня будет возможность погрузиться в новый КИБ поглубже и рассказать вам еще много интересного.
Возможно даже возьмем интервью с провокационными вопросами у вендора и покажем все, что скрыто.
До новых встреч, DLP-зависимые!