InfoWatch сообщила о выпуске InfoWatch Traffic Monitor 6.5

Александр Панасенко 18 Октября 2016 - 12:17

Системы защиты от утечек конфиденциальной информации (DLP)

...

InfoWatch сообщила о выпуске InfoWatch Traffic Monitor 6.5

В ТM 6.5 ключевые технологии анализа InfoWatch применяются не только на уровне сетевого шлюза, но и на конечных устройствах, включая персональные компьютеры и ноутбуки.

Это позволяет мгновенно блокировать несанкционированные действия сотрудников, включая хищение, разглашение, модификацию конфиденциальной информации, что сокращает вероятность ущерба от утечки чувствительных для бизнеса данных.

Интеграция InfoWatch Traffic Monitor в инфраструктуру компании, как и ранее, предполагает развертывание программного агента на рабочих станциях сотрудников. В отличие от предыдущей версии, на агентской части TM 6.5 выполняется лингвистический и сигнатурный анализ обрабатываемых данных, определение текстовых объектов, а также возможна комбинированная работа этих технологий анализа для более точного выявления конфиденциальной информации. Таким образом, блокировка утечек конфиденциальных данных осуществляется непосредственно на конечных устройствах сотрудников.

«Новая версия InfoWatch Traffic Monitor 6.5 позволяет заказчикам перейти от мониторинга инцидентов к их непосредственному предотвращению, — сказал ведущий менеджер по развитию продуктов ГК InfoWatch Александр Клевцов. — С высокой точностью при минимальной нагрузке на рабочую станцию TM 6.5 определяет несанкционированную передачу конфиденциальной информации с устройства сотрудника и блокирует ее, не нарушая непрерывность бизнес-процессов компании. В результате высокий уровень безопасной работы с информацией поддерживается и в пределах офиса, и за границей защищенного периметра».

Настройка политик безопасности TM 6.5 для рабочих станций осуществляется с помощью единого центра управления — консоли InfoWatch Traffic Monitor. Допускается применение отраслевых шаблонов либо создание уникальных политик для каждого конечного устройства.

С помощью нового решения InfoWatch можно запретить определенные действия сотрудника в различных приложениях даже в том случае, если разграничение прав доступа к этим функциям не было предусмотрено производителем программного обеспечения. Например, офицер безопасности может разграничить права отдельных сотрудников на выполнение операции копирования в буфер обмена, отправку на печать или создание снимков экрана в приложении для ведения документооборота или бухгалтерской отчетности.

В TM 6.5 офицеру безопасности компании доступно расследование инцидентов с возможностью просмотра снимков экрана рабочего стола сотрудников, сделанных системой до и после наступления события, а также возможность фильтрации снимков по рабочей станции, сотруднику или программному приложению.

M 6.5 ключевые технологии анализа InfoWatch применяются не только на уровне сетевого шлюза, но и на конечных устройствах, включая персональные компьютеры и ноутбуки. " />

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 02 Декабря 2025 - 13:43

Solar JSOC Бэкдоры Целевые атаки Таргетированные атаки Малый и средний бизнес Корпорации ГК «Солар»

Незаметный бэкдор год сидел в сети подрядчика российской телеком-компании

Специалисты центра исследования киберугроз Solar 4RAYS (группа компаний «Солар») рассказали на SOC Forum 2025 о расследовании атаки на одну из телеком-компаний. В ходе инцидента они выявили новый бэкдор под названием IDFKA, который позволил злоумышленникам получить доступ к базе данных абонентов и до сих пор представляет угрозу для российских организаций.

В конце мая 2025 года Solar JSOC заметил запуск подозрительных команд в инфраструктуре оператора — от имени служебной учётной записи, которую администрировал ИТ-подрядчик.

Когда специалисты подключились к расследованию, выяснилось, что в сеть подрядчика проникли сразу две группировки:

Snowy Mogwai — известная азиатская команда, занимающаяся кибершпионажем;
NGC5081 — менее изученная группа, действовавшая параллельно.

Обе группировки интересовала одна цель — данные телеком-компании.

NGC5081 использовала два инструмента удалённого управления: азиатский Tinyshell и ранее неизвестный IDFKA. Его обнаружили в ходе реагирования — файл маскировался под легитимный сервис. Название отсылает к чит-коду IDKFA из игры Doom, который выдавал игроку все оружие и ключи.

IDFKA разработан «с нуля», что говорит о высокой подготовке нападавших. Он написан на Rust, что усложняет анализ, и использует собственный L4-протокол поверх IP, позволяющий скрывать трафик от систем мониторинга. Инструмент умеет многое: от удалённого управления системами подрядчика до продвижения внутри сети и сканирования инфраструктуры.

По данным Solar 4RAYS, IDFKA помог злоумышленникам оставаться в инфраструктуре подрядчика не менее 10 месяцев. С его помощью они могли выгружать базы абонентов и информацию о звонках — вероятно, эти данные действительно оказались в руках атакующих, хотя прямых следов похищения эксперты не нашли.

При этом инфраструктура управления IDFKA всё ещё активна. Это означает, что инструмент может использоваться и в будущих атаках на другие компании.

Solar 4RAYS очистили инфраструктуру оператора от бэкдора, устранили последствия деятельности NGC5081 и опубликовали индикаторы компрометации и Yara-правило для его обнаружения.

Чтобы защититься от IDFKA, эксперты советуют:

контролировать обращения инфраструктуры к известным серверам управления NGC5081;
обращать внимание на подозрительные файлы, написанные на Rust;
применять комплексные средства киберзащиты;
регулярно проводить оценку компрометации собственной среды.

Случай показывает, что даже крупные подрядчики могут оставаться под контролем хакеров месяцами, если в инфраструктуре появляется скрытый инструмент вроде IDFKA.

InfoWatch сообщила о выпуске InfoWatch Traffic Monitor 6.5

Читайте также