Обзор новых возможностей DLP-системы Solar Dozor 7.8

1. Введение
2. Настройка политики безопасности для endpoint-агентов по персонам и группам персон
3. Обогащение модуля анализа поведения пользователей данными мессенджеров
4. Обновление модели распознавания графических шаблонов
5. Автоматическая установка агентов на рабочие станции, добавленные в группу Active Directory
6. Применение правил детектирования информационных объектов и шаблонов документов отдельно к сообщению, его части или вложению
7. Совместимость Solar Dozor с импортонезависимым программным обеспечением
8. Обновление интерфейса событий / инцидентов и карточки сообщения
9. Выводы

Введение

Новую версию системы защиты от утечек Solar Dozor 7.8 отличают развитие агента для конечных точек и модуля UBA (User Behavior Analytics), большое число доработок пользовательского интерфейса, движение в сторону импортозамещения и ряд других улучшений. Среди основных нововведений следует отметить:

• настройку политики безопасности для endpoint-агентов по персонам и группам персон;
• обогащение модуля анализа поведения данными мессенджеров;
• обновление модели распознавания графических объектов;
• автоматическую установку endpoint-агентов на рабочие станции, добавленные в группу службы каталогов Active Directory;
• применение правил детектирования информационных объектов и шаблонов документов отдельно к сообщению, вложению или части сообщения;
• совместимость Solar Dozor с импортонезависимыми операционными системами и браузерами актуальных версий;
• обновление области работы с событиями и инцидентами и карточки сообщения в интерфейсе.

Рассмотрим подробнее новые возможности системы.

С одной из предыдущих версий можно ознакомиться в нашем обзоре. Также можно обратиться к материалу, в котором мы рассматривали модуль Dozor Endpoint Agent for Linux для DLP Solar Dozor 7.

Настройка политики безопасности для endpoint-агентов по персонам и группам персон

В рамках развития Solar Dozor политика для endpoint-агентов была доработана таким образом, чтобы её можно было применять не к рабочим станциям, а к персонам и группам персон.

Данная функциональность позволяет настроить правила агентской политики для сотрудников компании согласно их должности и статусу. Для групп персон, соответствующих подразделениям компании, теперь можно настраивать правила в зависимости от степени рисков для безопасности. Например, для сотрудников бухгалтерии может быть разрешена работа с финансовыми документами, но запрещены действия с документами имеющими отметки о конфиденциальности.

Изменение должности сотрудника и перевод его в другое подразделение теперь не влекут за собой необходимости перенастраивать правила политики агента: перевод сотрудника из одной группы, соответствующей подразделению или организационной единице компании («Organization Unit» в Active Directory), в другую просто приведёт к применению на рабочей станции тех агентских правил контроля, которые определены для его новой организационной единицы.

Кроме того, на практике встречаются ситуации, когда в компаниях разные сотрудники работают за одними и теми же рабочими станциями, например посменно. Настройка правил агентской политики по персонам позволяет не привязываться к рабочей станции, которую могут использовать сотрудники с разными правами доступа, а контролировать действия конкретного человека на автоматизированном рабочем месте (АРМ).

Настройка правил контроля для endpoint-агентов

В разделе «Перехватчики», в зоне «Агенты» для каждой группы станций добавлены вкладки «Правила контроля». Там, в новом удобном интерфейсе, можно задать условия и действия агента по следующим каналам перехвата: публикация в локальной сети, публикация в интернете, запись на съёмные носители, печать на принтере, использование мессенджеров, использование буфера обмена, запуск приложений, подключение USB-устройств. Для каждого канала агентского перехвата набор ограничен только теми условиями, которые для него применимы. Мониторинг каждого канала перехвата может включаться (полностью либо частично) и отключаться, правила могут наследоваться и копироваться.

В случае если в организации нет необходимости применять агентскую политику к персонам / группам персон, для каждой группы станций предусмотрен общий набор правил «Любой пользователь», используемый по умолчанию.

Рисунок 1. Правила контроля для агентов

Шаблоны правил политики

Удобство настройки правил политики для агентов обеспечивается инструментом шаблонов. Его использование позволяет применять одинаковые правила для различных персон и их групп, тем самым избегая рутинного дублирования условий.

Рисунок 2. Шаблоны правил политики для агентов

Обогащение модуля анализа поведения пользователей данными мессенджеров

Напомним, User Behavior Analytics — класс систем поведенческого анализа, самостоятельных или интегрированных в различные системы обеспечения безопасности (DLP, SIEM). Solar Dozor UBA — самообучаемая система анализа поведения, дополнение комплекса защиты от утечек информации Solar Dozor.

В версии Solar Dozor 7.8 модуль UBA был обогащён данными мессенджеров. Развитие продукта в этом направлении обусловлено рядом факторов. По данным исследования «РТК-Солар» за апрель-май 2022 г., мессенджеры являются каналом — лидером по реализации мошеннических схем.

Рисунок 3. Исследование «Мошенничество и слив данных в российских организациях»

Мессенджеры являются каналом как неформального общения, так и обсуждения рабочих вопросов. По ним часто передаётся то, что сотрудники не перешлют в почтовой переписке. В состав этой информации входят значимые для компании данные, личные данные сотрудников, связанные с репутацией компании сведения. Поэтому анализ поведения на основе коммуникаций в мессенджерах стал следующим по приоритету при развитии UBA.

Поток соответствующих данных, которые собираются с рабочих мест сотрудников установленными там агентами, был заведён в UBA из DLP-системы. В модуль анализа поведения пользователей поступают сведения об использовании пяти наиболее популярных мессенджеров в настольном и веб-исполнении, работающих под операционными системами Linux, Windows, macOS.

Различные режимы работы с паттернами UBA

Паттерн поведения UBA — комбинация особенностей и аномалий поведения персоны (пользователя, сотрудника), отражающая различные риски для безопасности, присутствующие в компании.

Теперь офицер безопасности может ознакомиться с результатами анализа поведения сотрудников в нескольких разрезах. Гибкая аналитика поможет составить более полную картину и более точно выявить аномалии в поведении. Например, интенсивность отправки или получения информации по электронной почте и по мессенджерам может говорить офицеру безопасности о разном. В первом случае подобная активность может отражать регулярную рабочую деятельность, во втором же — говорить об угрозах или нарушениях безопасности.

Рисунок 4. Переключатель по видам коммуникаций в области работы с паттернами

Рисунок 5. Переключатель по видам коммуникаций в области работы со списками персон из паттернов

Соотношение электронной почты и мессенджеров

Офицер безопасности, анализируя действия сотрудников, поведение которых гипотетически должно быть схожим (например, если они работают в одном отделе и занимаются очень похожей деятельностью), может обнаружить персону, поведение которой явно выбивается из общей картины. Такие сотрудники могут являться источниками угроз безопасности, быть нарушителями, либо с ними может происходить что-то негативное, что нежелательно для бизнеса. Если у сотрудника наблюдается сильный перевес в общении в сторону мессенджеров или, наоборот, в сторону электронной почты и это нетипично для его рода деятельности, а кроме того он имеет много неизвестных контактов / зафиксированных в его отношении событий по безопасности или его поведение аномально, то это — повод обратить на сотрудника внимание.

Для расследования подобных отклонений в модуле UBA визуализировано соотношение долей электронной почты и мессенджеров. Сортировка по преобладанию того или иного вида коммуникации позволяет выявлять сотрудников с нетипичными для них каналами взаимодействия.

Рисунок 6. Соотношение видов коммуникаций персон

Рисунок 7. Сортировка по преобладанию вида коммуникации

Поиск карточек сотрудников в списке персон из паттерна по видам мессенджеров и по электронной почте

В ряде компаний некоторые мессенджеры являются запрещёнными, другие же не рекомендуются для использования. Сотрудник может нарушать правила компании в отношении применяемого программного обеспечения, в том числе нелегитимно устанавливая запрещённые либо нерекомендуемые мессенджеры. В таком случае офицеру безопасности важно понимать, пользуется ли кто-то из сотрудников такими мессенджерами и если да, то как интенсивно и в каких целях. Исследуя подобные факты, офицер безопасности может обнаружить детали указывающие на нарушения, утечки, сговор, нерациональное использование рабочего времени.

Для решения данной задачи в UBA используется фасетный фильтр с новыми параметрами фильтрации по персонам.

Рисунок 8. Поиск персон в паттерне по различным видам коммуникаций

Переключение по видам коммуникаций на вкладках основных показателей поведения в карточке персоны

Офицеру безопасности необходимо видеть в наглядном представлении динамику поведения персоны отдельно по мессенджерам и отдельно по электронной почте, чтобы построить гипотезы относительно легитимности действий сотрудника и возможных нарушений, связанных с его деятельностью.

Описание всех показателей в модуле UBA и основанных на них аномалиях и паттернах теперь дополнительно производится с учётом данных трафика персон, прошедшего через мессенджеры. Также сообщения мессенджеров учитываются на диаграммах исходных сообщений, на основании данных по которым рассчитаны показатели поведения.

Рисунок 9. Переключатель по видам коммуникаций на примере показателей активности

Рисунок 10. Переход к исходному сообщению персоны

Формирование отчётов по поведению 

При проверке подозрений или проведении расследования нарушений офицер безопасности собирает доказательную базу. По результатам своей деятельности он формирует отчётность для представления заинтересованным лицам. В этих отчётах отражается то, насколько поведение проверяемого сотрудника отличается от остальных и по каким характеристикам. В число этих характеристик входит и вид коммуникаций.

В модуле UBA имеется возможность формирования отчётов по списку попавших в паттерн персон. Теперь данный отчёт строится в зависимости от вида коммуникаций, с которым работает пользователь. Сведения о виде коммуникаций также были добавлены в этот отчёт.

Рисунок 11. Отчёт по поведению персон с учётом вида коммуникаций

Рисунок 12. Отчёт по поведению отдельно взятой персоны с учётом вида коммуникаций

Обновление модели распознавания графических шаблонов

Для распознавания графических объектов, а именно — треугольных и круглых печатей, паспортов РФ и банковских карт, в предыдущих версиях Solar Dozor использовалась модель на основе нейронных сетей. Она обладала рядом недостатков, таких как высокое потребление ресурсов и недостаточное качество распознавания. Последнее приводило к пропускам некоторых графических объектов, а также к возникновению ложноположительных срабатываний политики безопасности. Всё в совокупности оборачивалось появлением рисков, наличие которых для ряда пользователей системы являлось неприемлемым.

В версии Solar Dozor 7.8 данная модель была заменена на более современную, также основанную на искусственной нейронной сети. Это позволило улучшить качество распознавания графических объектов и снизить нагрузку на используемые ресурсы.

Обновлённая модель обладает следующими характеристиками по сравнению с ранее используемой:

• Среднее потребление оперативной памяти снизилось на 45 %.
• Качество распознавания графических объектов существенно выросло — до 98 %.

Рисунок 13. Настройка графических шаблонов

Автоматическая установка агентов на рабочие станции, добавленные в группу Active Directory

Крупным компаниям, разворачивающим у себя большое количество агентов для конечных точек и имеющим разветвлённую многофилиальную структуру, проблематично каждый раз при регистрации новых рабочих станций в службе каталогов дополнительно добавлять их в группы станций Solar Dozor и устанавливать на них endpoint-агенты.

Новая функция позволяет уйти от рутинных ручных процедур. Реализована возможность задать группу станций из используемой службы каталогов (Microsoft Active Directory), которые будут контролироваться группами станций Solar Dozor. После этого при добавлении в группу Active Directory рабочие станции будут вноситься и в соответствующую группу Solar Dozor, с попыткой установки на них endpoint-агентов.

Рисунок 14. Включение опции и выбор групп рабочих станций

Применение правил детектирования информационных объектов и шаблонов документов отдельно к сообщению, его части или вложению

Для того чтобы повысить качество работы политики в части детектирования информационных объектов (ИО) в обрабатываемых сообщениях, добавлены следующие возможности:

• Комбинирование использования инструментов ИО по логическим условиям «И» либо «ИЛИ», что даёт возможность использовать более гибкую и прозрачную логику настройки.
• Проверка наличия информационных объектов в различных составляющих сообщения (что также обеспечивает более гибкую логику), а именно:
  • в сообщении — когда условия применяются ко всему тексту и ко вложениям;
  • в документе — когда условия применяются по отдельности ко всем документам, т. е. логическим частям сообщения (например, к страницам в многостраничном скане, воспринимаемым как единый файл);
  • в части сообщения — когда условия применяются по отдельности ко всем составным частям вплоть до объектов нижнего уровня (например, страницы многостраничного скана будут анализироваться по отдельности).

Рисунок 15. Настройки инструментов для распознавания информационных объектов

Совместимость Solar Dozor с импортонезависимым программным обеспечением

Для соответствия среды, необходимой для функционирования Solar Dozor, современным требованиям к программному обеспечению, а также для поддержания курса на импортонезависимость была выполнена адаптация и проверка совместимости работы DLP-решения со следующим ПО.

Операционные системы:

• РЕД ОС версии 7.3.
• Astra Linux SE 1.7, сборка «Смоленск».

Браузеры:

• «Яндекс.Браузер» для Windows последней актуальной версии.
• Atom для Windows последней актуальной версии.

Программное обеспечение для мониторинга работы компонентов системы:

• Zabbix версии 5.0 и 5.4.

Обновление интерфейса событий / инцидентов и карточки сообщения

Развитие в этом направлении нацелено на использование в Solar Dozor более современных средств графической визуализации. Для этого был выполнен перевод областей системы на современный фреймворк Angular, что позволяет повысить удобство использования системы, сделать более прозрачной логику работы с визуальными элементами, привести интерфейсные части системы к единому виду, а также увеличить гибкость и скорость внесения в интерфейс последующих изменений.

Области работы с событиями и инцидентами

Обновление навигационного меню событий и инцидентов

Навигационная панель событий и инцидентов может быть свёрнута или изменена в размерах по ширине, при этом настройки заданных размеров сохраняются. Фильтры навигационной панели объединены и перенесены в одно место в интерфейсе.

Рисунок 16. Обновлённое навигационное меню

Обновление таблицы событий и инцидентов

Доступные действия над событиями и инцидентами отображаются только в том случае, если в списке выбраны события.

При выборе более 20 событий и / или инцидентов отправка уведомлений становится невозможной, о чём пользователю выводится соответствующее сообщение.

Добавлена возможность постраничного пролистывания списка с выбором количества записей, отображаемых на одной странице.

Позиционирование на выбранной записи в таблице сохраняется после выполнения операций над событиями и инцидентами.

Размер колонок таблицы можно изменять. Кроме того, можно управлять составом отображаемых столбцов списка.

Рисунок 17. Обновлённая таблица событий и инцидентов

Обновление карточки события и инцидента

Вместо краткой и детализированной карточек реализована единая карточка события и инцидента с максимально полной информацией. Размер карточки может быть изменён по усмотрению пользователя, при этом изменения автоматически сохраняются.

Рисунок 18. Единая карточка события / инцидента

В шапке карточки отображаются операции, которые пользователь может с ней выполнить: настройка отображаемых блоков карточки и их порядка, печать карточки, открытие карточки в отдельном окне браузера, закрытие.

Также добавлена возможность перехода из карточки события / инцидента в карточку сообщения, на основании которого событие или инцидент были созданы. Доступен быстрый возврат из карточки сообщения в карточку события / инцидента в том состоянии, в котором с ней была окончена работа, т. е. без потери контекста.

Рисунок 19. Обновлённая карточка события / инцидента

Обновление интерфейса карточки сообщения

Так же как и в предыдущем случае, вместо краткой и детализированной карточек сообщения в Solar Dozor 7.8 реализована единая карточка с максимально полной информацией. Размер карточки может меняться пользователем, изменения при этом автоматически сохраняются.

Рисунок 20. Обновлённая карточка сообщения

Добавлена возможность печати только информации исходного сообщения без сопутствующих данных из окружающих элементов интерфейса.

Настройка выводимых пользователю блоков карточки сообщения позволяет оставить только ту информацию по сообщению, которая необходима для работы.

Рисунок 21. Настройка блоков карточки сообщения

Действия, выполняемые над сообщением, запоминаются, что позволяет сэкономить время при выполнении множества одинаковых действий.

Рисунок 22. Сохранение последнего действия, произведённого над сообщением

Выводы

По результатам обзора новой версии программного комплекса Solar Dozor 7.8 следует отметить, что его функциональные возможности существенно расширились (напомним, что Solar Dozor вышел на рынок систем класса Data Leak Prevention (DLP) в 2001 году и с тех пор непрерывно развивается).

Программный комплекс Solar Dozor 7.8 продолжил развитие по ряду направлений: совершенствование политики информационной безопасности в части её адресного применения к сотрудникам и подразделениям, добавление новых инструментов для более точного детектирования информации и снижения числа ложноположительных срабатываний. Стоит отметить значительное продвижение в развитии технологий UBA, актуальное в свете наблюдаемых изменений в процессах контроля безопасности, а также смены приоритетов использования каналов коммуникаций для реализации мошеннических схем.

Отдельно следует подчеркнуть особое внимание разработчиков Solar Dozor к повышению удобства использования системы рядовым пользователем и дружественности её интерфейса.

Достоинства:

• Применение политики безопасности для агентов в зависимости от потребностей конкретных заказчиков — по персонам и группам персон с сохранением возможности применения к рабочим станциям.
• Расширенные возможности поведенческого анализа (UBA) за счёт обработки данных о поведении персон при общении в мессенджерах.
• Улучшенное распознавание графических объектов и снижение нагрузки на ресурсы за счёт использования новой модели на основе нейронной сети.
• Более развитый по сравнению с ранее используемым механизм автоматической установки агентов на рабочие станции.
• Поступательное снижение уровня ложных срабатываний политики безопасности благодаря улучшению совместного использования инструментов и применению их к различным составным частям сообщений.
• Дополнительная поддержка совместимости с актуальными версиями операционных систем РЕД ОС и Astra Linux, браузерами «Яндекс» и Atom.
• Существенное улучшение удобства использования ряда важных областей интерфейса.

Недостатки:

• Недостаточно удобно реализована работа с агентами в территориально-распределённом режиме (MultiDozor), в частности не хватает иерархии групп рабочих станций и настроек перехвата, а также фильтрации агентских групп в разрезах филиалов.
• Отсутствует автоматическое развёртывание агентов Linux из интерфейса.
• Не хватает возможности изменения путей размещения и наименований компонентов для агентов под Windows для обеспечения большей скрытности.
• Для пополнения картины поведения в UBA не хватает информации о поведении сотрудников при использовании съёмных носителей (USB).