В Solar Dozor полностью обновили агент для контроля рабочих станций

В Solar Dozor полностью обновили агент для контроля рабочих станций

Компания Ростелеком-Solar, национальный провайдер технологий и сервисов кибербезопасности, выпустила новую версию DLP-системы Solar Dozor. Ее ключевыми усовершенствованиями стали полностью обновленный агент для контроля рабочих станций, контроль коммуникаций в Viber, защита конфиденциальной конструкторской документации и поддержка ICAP-трафика от различных прокси-серверов.

При создании новой версии Solar Dozor в фокусе внимания разработчиков находилась задача по доработке модуля Dozor Endpoint Agent, предназначенного для контроля активности сотрудников на рабочих станциях. В частности, был серьезно улучшен механизм перехвата по протоколам HTTP/HTTPS, SMTP, POP3 и IMAP, повышена стабильность и скорость работы модуля. Список контролируемых каналов коммуникаций пополнился мессенджером Viber. Кроме того, с целью освоения технологий виртуализации, широко используемых в современной IT-инфраструктуре, в Dozor Endpoint Agent реализована поддержка «золотого образа» Citrix VDI, позволяющая устанавливать агент на виртуальные машины вместе с пакетом стандартного офисного ПО (Microsoft Office, 1С и т.д.).

«В стратегии развития DLP-системы Solar Dozor нашими приоритетами являются не только наращивание количества функций, но и глубина их проработки. После реализации новой функциональности в очередной версии продукта мы обязательно собираем обратную связь от заказчиков и с учетом их опыта эксплуатации дорабатываем продукт. Именно на этом сделан акцент в новой версии Solar Dozor 6.8», – отмечает Галина Рябова, руководитель направления Solar Dozor компании Ростелеком-Solar.

Важным шагом вперед стала реализация обработки ICAP-трафика от различных прокси-серверов в режиме реального времени. К данным, переданным по протоколу ICAP, могут быть применены те же правила, что и к сообщениям по другим каналам. В частности, в политике появилось специальное действие «Заблокировать ICAP», которое позволяет запретить как отправку данных на веб-ресурсы, так и скачивание с них. Кроме того, получила более глубокое развитие интеграция Solar Dozor с модулем контроля веб-трафика Dozor Web Proxy. Теперь офицер безопасности может вести единое досье на сотрудника, группу сотрудников или контрагента: все изменения, сделанные в Dozor Web Proxy, будут отражены в Solar Dozor, и наоборот.

Новая версия Solar Dozor 6.8 обладает специализированной возможностью автоматически определять файлы инженерных пакетов CAD-систем и извлекать из них текстовую информацию (данные чертежей, схем, спецификаций, моделей и т.п.). Поддерживаются форматы DWG, STL, STEP, ADEM CAD, M3D и др. Важно отметить, что подобные файлы не являются изображениями, поэтому их не могут перехватить стандартные OCR системы, используемые во многих DLP-системах. Благодаря новой функциональности Solar Dozor 6.8 различные инженерные чертежи, которые могут составлять коммерческую тайну и ноу-хау организации, теперь находятся под надежной защитой.

Значительное развитие в новой версии получила интеграция с Microsoft Active Directory (AD). Теперь офицер безопасности может получить доступ в систему без использования логина и пароля — применяются данные, введенные при входе в ОС. Для аутентификации используется протокол Kerberos.

Чтобы было проще визуально отличить друг от друга импортированные из AD данные персон, в новой версии появились индикаторы Organizational Unit и Security group, помогающие при поиске объектов системы, настройке политики и других ситуациях, когда требуется знать тип группы, в которой состоит персона. Кроме того, теперь возможна загрузка данных о персоне из нескольких AD, что важно, например, для компаний, находящихся в процессе слияния или поглощения другими организациями. При этом исключается дублирование учетных записей — дубликаты автоматически объединяются в одну карточку.

С целью повышения скорости реагирования на инциденты в Solar Dozor 6.8 были доработаны возможности поиска. Так, событие или инцидент теперь можно найти по его номеру (идентификатору). Кроме того, в Solar Dozor существуют два режима поиска объектов – быстрый и расширенный. Однако в некоторых случаях может понадобиться быстрый поиск по тексту сообщения с возможностью выбора сложных атрибутов, как в расширенном. В новой версии такая возможность появилась, что позволит точнее и быстрее находить нужную информацию.

Также улучшен контроль действий пользователей: теперь в журнале действий пользователей отображается максимально детализированная информация, в том числе IP-адреса устройств, действия с объектами политики, ролями пользователей и системными справочниками.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

PT Expert Security Center может предсказывать атаки группы RTM

RTM вместе с Cobalt и Silence является самой активной киберпреступной группой, атакующей российские финансовые компании и промышленный сектор. Специалисты Positive Technologies (PT Expert Security Center) «ведут» эту группу с 2018 года, что позволило им разработать механизм, предсказывающий дальнейшие действия RTM.

Основная цель злоумышленников — проникнуть в корпоративную сеть, для чего они используют фишинговые рассылки. В PT Expert Security Center заявили, что за 2018 год было зафиксировано 59 атак RTM.

Уже в 2019 году киберпреступники успели провести 45 атак. Углубившись в анализ рассылок группировки, специалисты PT Expert Security Center смогли вычислить, что функции командных центров C&C выполняют домены в зоне .bit.

Поскольку эта доменная зона создана на базе блокчейна Namecoin, эксперты PT Expert Security Center смогли изучить особенности архитектуры блокчейна, что позволило создать схему отслеживания регистрации новых доменов, принадлежащих RTM. Более того, исследователи могут даже отследить смену IP-адресов злоумышленников.

Благодаря новому алгоритму специалисты PT Expert Security Center теперь могут уведомлять финансовые организации о появлении новых командных серверов, которые киберпреступники будут использовать для атак.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru