Anna Popova, directora del Grupo DLP del Grupo de Empresas de Infoseguridad, continúa compartiendo sus impresiones sobre el uso de diferentes sistemas DLP. Este artículo discutirá el SearchInform CIB.
Es el SearchInform CIB que será el primero para el que quiero actualizar el conocimiento, lo cual es bastante lógico, ya que trabajé con esta solución más tiempo que con cualquier otra, y por supuesto estoy muy interesado en lo que el proveedor está haciendo allí. Por lo tanto, no rechacé la oferta en los comentarios para probar la nueva versión del software.
Las pruebas completas antes de fin de año no funcionaron, pero un poco de inmersión en el estudio de los nuevos productos que aún manejaba.
Entonces, en orden.
Consola analítica
Quién me conoce o lee mi crítica anterior, consciente de que he estado esperando la consola del analista del proveedor durante mucho tiempo. Y finalmente, ella salió!
Me gustó visualmente, porque algo en exceso de lo engañado no apareció en él (eso sería malo, me parece), pero al mismo tiempo combinó lo que es conveniente tener en una consola: un cliente común, un centro de informes y un centro de perfiles. .
En las versiones actuales, el centro de alertas aún no se ha incorporado (se ha mantenido sin muchos cambios visuales), pero, por ejemplo, no me asusta, porque últimamente he estado monitoreando empleados puntuales con más frecuencia que estableciendo políticas y creando reglas para atrapar todo tipo de golosinas. .
Para trabajar con eventos, el cliente general siempre ha sido más conveniente para mí.
Además, un módulo para el monitoreo en línea de una computadora (LiveView) se extrajo de un cliente común de un cliente común, que también me gustó, porque lo uso con bastante frecuencia. Por otro lado, es conveniente separarlo de la consola de visualización común; no me gusta cuando todo está en una ventana y una se reinicia constantemente.
Bueno, la presencia en la misma consola de todos los informes posibles del antiguo centro de informes es una gran ventaja.
Entonces estoy contento con este cambio.
Versión web
Agradable y también bastante simple, para los fanáticos del minimalismo de inmediato más. Se ha incorporado la versión web de la alerta y el informe. La administración de la alerta se mantuvo en el cliente pesado, pero prometen una transferencia rápida, también a la web.
Nuevas fichas
Auditor de archivosEl nuevo módulo, que ahora actúa como un escáner universal de espacios con la capacidad de capturar instantáneas y documentos de marcado. Anteriormente, este problema tenía que ser resuelto por dos módulos diferentes: el controlador de archivos y el IRS. El segundo, por cierto, también se ha rediseñado y se ha convertido en un orden de magnitud más rápido y más conveniente de configurar.
Escaneo de almacenamiento en la nubeLo más probable es que tenga demanda, porque cada vez más empresas vuelan hacia las nubes todos los días. De hecho, también es un escáner que recopilará instantáneas, marcará archivos y permitirá trabajar con ellos, incluso a través de las políticas del centro de alertas.
Medios extraíblesInstantánea de archivos ubicados en medios extraíbles.
Eso es genial, de verdad. Cuántos problemas experimenté personalmente cuando realmente necesitaba ver qué tipo de archivos había en una unidad flash que un empleado conectaba a la computadora. Te sientas durante mucho tiempo y captas el momento en el video con la esperanza de que el empleado los haya abierto al menos parcialmente.
Cifrado de datos grabados en los medios. Será útil para alguien, bueno, y menos problemas con herramientas de cifrado adicionales para unidades flash. Ajuste fino de la configuración de permisos de escritura en los medios. Por tamaño de archivo, por ejemplo.
KeyloggerApareció una marca de verificación, al hacer clic en la cual puede detener los ojos vendados durante el monitoreo, pero simplemente dejar de ver las contraseñas.
¡Regocíjate por los luchadores por la libertad y los jinetes GDPR!
Intercepción de mensajeros instantáneos.Una de las preguntas más populares, me parece, de los clientes. Y les gusta preguntar incluso sobre esos mensajeros instantáneos que no se utilizan en absoluto en la empresa, o que no son utilizados por 1 persona. Oh bien
Entonces aquí. En el nuevo CIB, todos nuestros WhatsApps, carros y vibradores favoritos se interceptan en ambas versiones: web y de escritorio. Por cierto, esto, aparentemente, es exclusivo, en términos de whatsapp, seguro.
Correo de trabajo en modo de bloqueoHay soporte para todos los protocolos más utilizados: IMAP, NNTP, POP3, SMTP, HTTP (S) y MAPI.
La intercepción se implementa para lo anterior, incluido el uso de s \ mime. El bloqueo está disponible para los protocolos salientes, nuevamente incluyendo MAPI y s \ mime.
Video de escritorio y webcamsHa aparecido un módulo para controlar imágenes desde una cámara web, es decir, cada incidente ahora tiene un "rostro humano". Similar al formato de captura de pantalla, puede habilitar la grabación solo junto con ciertos procesos o incluso sitios.
LinuxControl de tráfico en toda la familia de Astra Linux, Ubuntu y CentOS. Pronto prometen que se agregará el sniffer del dispositivo.
AgentesUno de mis favoritos
Control de agente agregado. Si, por algún tiempo, el agente no desconecta el servidor, comienza su reinstalación.
Y ahora, el agente de actualización solo necesita Internet para conectarse al servidor, y ni siquiera es necesario estar dentro de la red corporativa.
Centro de informesYa no está como una entidad separada. ¡Aleluya! Y también olvídate de la sincronización constante de sus bases, ahora es cíclica.
Centro de perfiles
Sus beneficios para mí son obvios. ¿Por qué atrapar incidentes post factum si se pueden prever algunos de ellos? Y saber que su empleado no está en mi cara es lo que me conviene, pan y mantequilla.
Para mí es difícil decir cómo funciona esto en tecnología, pero visualmente la pestaña con ella se ve muy modesta y minimalista, lo que significa que no tiene que preocuparse por la configuración.
Honestamente, a quién le importa cómo funcionan estos algoritmos allí. Las personas que desarrollaron este producto obviamente dedicaron muchos años a crear perfiles y trabajar con personas vivas. Si las personas que podrían ser súper desarrolladores y súper ingenieros, pero que no entienden nada de psicología, estuvieran involucradas en tal desarrollo, entonces sería muy extraño.
Es necesario hacer la prueba. Definitivamente existe una necesidad en el mercado de un producto de este tipo, especialmente para servicios de seguridad y recursos humanos muy avanzados. Bueno, al menos no hay competidores en el mercado ruso de UBA y DLP.
Según el proveedor, es necesario un promedio de 1-2 meses para acumular datos para construir un retrato confiable de un empleado. Sí, como en las películas, al drenar instantáneamente el cerebro a través del oído, todavía no funciona, si alguien lo soñó.
Velocidad de búsquedaNo puedo decir nada sobre la velocidad de la búsqueda y si algo ha cambiado en ella; no lo entenderá por análisis visual. El desarrollador habla sobre el lanzamiento de un motor de búsqueda fundamentalmente nuevo, libre de viejos problemas. Se explica por la nueva arquitectura 64x, que no tiene limitaciones de software (como en el antiguo motor) en términos de memoria, núcleos e hilos. Desde un punto de vista técnico, suena bastante razonable, pero yo mismo no puedo juzgar la velocidad real. Necesito datos Una gran cantidad de datos reales ...
Resumen de nuevo :
- la interfaz no ha perdido su simplicidad y comprensión;
- un cliente común con un informe se casó y adoptó un centro de perfiles, resultó ser una familia amigable: la consola de análisis;
- el centro de alerta aún no se ha rendido y vive en un departamento separado;
- LiveView ahora está en una ventana separada de la consola integrada;
- el keylogger se rindió y activó el modo de bloqueo de contraseña;
- los agentes aprendieron a lidiar con la crueldad de este mundo y ahora usan la reinstalación en modo automático, monitoreando su propio desempeño y otros beneficios;
- el misterioso perfil del centro se ve muy amigable;
- una copia oculta de los datos en una unidad flash, para los oficiales de seguridad que son especialmente fanáticos de su trabajo;
- preparado mentalmente para la transición a Linux, ya puedes comenzar a alegrarte;
- el atavismo del controlador de archivos reencarnado en un escáner genial con marcado de datos;
- carros, trineos, esquís y otros WhatsAps: no te tenemos miedo, te interceptamos en todas las poses;
- escaneo en la nube para aquellos que se mantienen al día.
Bueno, intenté recoger la crema en la superficie y analizar ligeramente los principales cambios en el CIB.
Espero tener la oportunidad de profundizar en el nuevo CIB y contarles muchas cosas más interesantes.
Quizás incluso entrevistamos al vendedor con preguntas provocativas y mostramos todo lo que está oculto.
Hasta la próxima, ¡depende de DLP!
Anna Popova, directora de DLP Block, Infosecurity, una compañía de Softline