SearchInform обновила архитектуру своего флагманского продукта

SearchInform обновила архитектуру своего флагманского продукта

Компания SearchInform комплексное решение для предотвращения утечек данных и контроля информационных потоков в организациях. Существенные изменения затронули архитектуру продукта, и версия EndpointSniffer обновилась до 5.0.

Изменения в архитектуре платформ EndpointSniffer и NetworkSniffer

Главным событием стало тотальное обновление SearchInform EndpointSniffer – платформы для перехвата трафика через агенты на рабочих станциях, лэптопах и мобильных устройствах работников – до версии 5.0. В первую очередь была изменена архитектура платформы. Ранее для полного контроля информационных каналов SearchInform EndpointSniffer необходимо было использовать совместно с сетевой платформой SearchInform NetworkSniffer, отвечающую за «разбор» трафика по некоторым протоколам. В версии 5.0 EndpointSniffer полностью вобрал в себя этот функционал, став полностью автономным продуктом. Другими словами, теперь платформа может самостоятельно перехватывать и анализировать любой трафик:

  • входящую и исходящую электронную почту (в том числе и защищённую), включая передаваемую и получаемую через почтовые Web-сервисы;
  • сообщения интернет-пейджеров (ICQ, QIP, Mail.Ru Агент, JABBER и др.), а также общение в популярных социальных сетях (Одноклассники, LinkedIn, Facebook и т.д.);
  • голосовые и текстовые сообщения Skype, передаваемые файлы и SMS;
  • информацию, записываемую на различные внешние устройства (например, USB-флешки, CD/DVD диски);
  • информацию, отправляемую на интернет-форумы, блоги и прочие web-сервисы;
  • информацию, передаваемую по протоколу FTP;
  • содержимое документов, отправленных на печать;
  • операции с файлами, хранящимися на серверах и в общих сетевых папках;
  • информацию, отображаемую на мониторах пользователей;
  • деятельность сотрудников, работающих с корпоративными мобильными устройствами на базе iOS;

Тем не менее, сетевая платформа SearchInform NetworkSniffer, предназначенная для контроля сетевой активности сотрудников, по-прежнему останется в портфеле предложений компании, а работы над совершенствованием этого продукта продолжаются. Подтверждением этого стал выпуск 64-битной версии SearchInform NetworkSniffer. За счёт реализации более продвинутой архитектуры, платформа получила возможность работать с ещё более серьёзными нагрузками без потери производительности. Этот аспект особенно критичен для крупных организаций. Также в обновлённом SearchInform NetworkSniffer, в модуле Mail Integration, помимо увеличения скорости разбора писем, была реализована возможность вычитки писем сразу из нескольких почтовых ящиков. Другими словами, при интеграции с почтовыми серверами, появилась возможность вычитывать письма сразу в несколько потоков.

Новые модули «КИБ SearchInform»: ProgramSniffer и LyncSniffer

Помимо изменений архитектуры, в SearchInform EndpointSniffer были добавлены новые модули, расширяющие возможности перехвата информации на конечных точках. В состав платформы вошли:

  • ProgramSniffer – модуль, ведущий учёт активности пользователей в запускаемых приложениях на протяжении рабочего дня;

Фиксируется время, которое сотрудник проводит в каждом приложении. В дальнейшем, на основе собранной информации могут быть построены детальные отчёты по эффективности использования сотрудниками рабочего времени.  Этот модуль появился по многочисленным пожеланиям клиентов SearchInform.

  • LyncSniffer – модуль, отвечающий за перехват информации из Microsoft Lync (чаты, звонки, передаваемые файлы).

На сегодняшний день LyncSniffer является единственным решением, перехватывающим как текстовые, так и голосовые коммуникации сотрудников в Microsoft Lync. Стоит отметить, что компания SearchInform не в первый раз выступает в качестве первопроходца. Так, в 2008 году компания выпустила продукт SkypeSniffer – единственного решения, способного перехватывать текстовые и голосовые сообщения Skype, передаваемые файлы и SMS. Реализовать подобный перехват другие вендоры смогли лишь в прошлом году.

Единый клиент

Важными улучшениями отметились и другие продукты. Модуль SearchInform Client, отвечающий за работу с серверов поиска, начал поддерживать работу со снимками экрана, снятыми с помощью MonitorSniffer. Тем самым, была поставлена точка в процессе перехода компании к единым консолям управления. Теперь с помощью SearchInform Client можно просматривать любую перехваченную информацию: от звонков в Skype до действий пользователя с файлами в общих сетевых папках. Также в SearchInform Client стала более наглядной цветовая дифференциация результатов поиска в зависимости от их типа. Таким образом, удалось избежать излишнего подсвечивания результатов поиска (например, при наличии GET-запросов через SSL), а также улучшить навигацию по результатам выдачи.

Улучшенная аналитика AlertCenter

Главным же улучшением SearchInform AlertCenter – продукта, отвечающего за автоматический анализ перехваченной информации по заранее настроенным критериям – стала поддержка работы не только с индексами, но и напрямую с базами данных SearchInform FileSniffer, SearchInform MonitorSniffer и др., что, в конечном счёте, позволило существенно снизить объём «ручного» труда специалистов по информационной безопасности. Данное улучшение позволяет автоматически выявлять данные, не подвергающиеся индексации (то есть те, в которых нет текста), по определённым атрибутам: дате, учётной записи пользователя и т.д. Например, можно автоматически перехватывать снимки экрана тех машин, на которых запущен определённый процесс. За счёт работы функции в режиме реального времени, ответственный за информационную безопасность может получать данные анализа и связанные с ними уведомления точно тогда же, когда пользователь предпринимает попытку нарушить политику безопасности. Также в новой версии SearchInform AlertCenter была существенно усовершенствована работа с регулярными выражениями. С одной стороны, был оптимизирован алгоритм проверки по регулярным выражениям, что позволило повысить скорость его работы более чем в 10 раз. С другой стороны, добавлена верификация по именам и номерам банковских карт и паспортов, что позволяет пропускать данные, похожие с виду на номера банковских карт или паспортов, но не соответствующие алгоритмам генерации соответствующих номеров.

iOS 27 попробует остановить мошенников прямо во время развода по телефону

Apple готовит для iOS 27 новый фреймворк Trust Insights, который должен помогать приложениям замечать, что пользователя прямо сейчас могут разводить мошенники. Причём речь не о классическом антивирусе, а о попытке поймать социальную инженерию в процессе, когда человек сам переводит деньги, меняет настройки аккаунта или отправляет данные.

Apple объясняет проблему просто: такие атаки сложно ловить автоматически, потому что действия выполняет сам пользователь, аутентифицированный и вроде бы легитимный.

Особенно это актуально на фоне скамов с техподдержкой, фейковыми сотрудниками ведомств, семейными ЧП и дипфейками.

Trust Insights будет в основном работать на устройстве и анализировать не содержание сообщений, писем или фотографий, а поведенческие сигналы: паттерны взаимодействия, время, контекст и базовые данные сенсоров.

Если система решит, что пользователя, возможно, инструктируют мошенники, она присвоит операции средний или высокий уровень риска.

 

После этого приложение сможет показать предупреждение, добавить задержку, запросить дополнительную проверку или усложнить выполнение опасного действия. Например, перед платежом, сменой данных аккаунта, отправкой сообщения, подписанием документа или использованием дорогих ресурсов вроде ИИ-инференса.

Apple подчёркивает, что Trust Insights не читает содержимое Фотографий, Сообщений и Почты. Данные анализируются локально, сразу отбрасываются, а на серверы Apple уходит только итоговое значение риска. Там его могут сопоставить с данными аккаунта и признаками необычной активности, после чего система вернёт финальную оценку.

Отключить Trust Insights можно будет в настройках, но Apple предусматривает период ожидания. Логика понятна: мошенник вполне может наказать жертве срочно выключить защиту, иначе деньги пропадут.

Для разработчиков это новый инструмент, который позволит не просто молча проводить операции, а вмешиваться в момент, когда пользователь уже почти наступил на цифровые грабли.

RSS: Новости на портале Anti-Malware.ru