Anna Popova, chef du groupe DLP du groupe de sociétés Infosecurity, continue de partager ses impressions sur l'utilisation de différents systèmes DLP. Cet article abordera le SearchInform CIB.
C'est le SearchInform CIB qui sera le premier pour lequel je veux mettre à jour les connaissances, ce qui est assez logique, car j'ai travaillé avec cette solution plus longtemps qu'avec toute autre, et bien sûr, je suis très intéressé par ce que le fournisseur fait là-bas. Par conséquent, je n'ai pas refusé l'offre dans les commentaires de tester la nouvelle version du logiciel.
Les tests complets avant la fin de l'année n'ont pas fonctionné, mais un petit plongeon dans l'étude des nouveaux produits que j'ai toujours réussi.
Donc, dans l'ordre.
Console d'analyse
Qui me connaît ou a lu mon avis précédent, conscient que j'attends depuis longtemps la console d'analyste du fournisseur. Et enfin, elle est sortie!
Je l'ai aimé visuellement, parce que quelque chose en plus de la chose trompée n'y figurait pas (ce serait mauvais, me semble-t-il), mais en même temps, il combinait ce qui est pratique d'avoir dans une console - un client commun, un centre de rapports et un centre de profil .
Dans les versions actuelles, le centre d'alerte n'a pas encore été intégré (il est resté sans beaucoup de changements visuels), mais, par exemple, cela ne me fait pas peur, car ces derniers temps, j'ai surveillé les employés de point plus souvent que de mettre en place des politiques et de créer des règles pour attraper toutes sortes de goodies .
Pour travailler avec des événements, le client général a toujours été plus pratique pour moi.
De plus, un module de surveillance en ligne d'un ordinateur (LiveView) a été retiré d'un client commun d'un client commun, ce que j'ai aussi aimé, car je l'utilise assez souvent. D'un autre côté, le séparer de la console de visualisation commune est pratique; je n'aime pas quand tout est dans une fenêtre et que l'un réinitialise constamment l'autre.
Eh bien, la présence dans la même console de tous les rapports possibles de l'ancien centre de rapport est un gros plus.
Je suis donc satisfait de ce changement.
Version Web
Agréable et aussi assez simple, pour les fans de minimalisme immédiatement plus. Il a incarné la version Web de l'alerte et du rapport. L'administration de l'alerte est restée dans le client lourd, mais ils promettent un transfert rapide - également sur le Web.
De nouvelles puces
Auditeur de dossierLe nouveau module, qui agit désormais comme un scanner universel des espaces avec la possibilité de saisir des clichés instantanés et des documents de balisage. Auparavant, ce problème devait être résolu par deux modules différents - le contrôleur de fichiers et l'IRS. Le second, soit dit en passant, a également été repensé et est devenu un ordre de grandeur plus rapide et plus pratique à configurer.
Analyse du stockage dans le cloudLa chose est très probablement en demande, car de plus en plus d'entreprises volent dans les nuages chaque jour. En fait, c'est également un scanner qui collectera les clichés instantanés, marquera les fichiers et permettra de travailler avec eux, y compris via les politiques du centre d'alerte.
Supports amoviblesCliché instantané des fichiers situés sur un support amovible.
C'est cool, vraiment. Combien de problèmes j'ai personnellement rencontrés lorsque j'avais vraiment besoin de voir quel type de fichiers il y avait sur un lecteur flash qu'un employé a connecté à l'ordinateur. Vous vous asseyez longtemps et saisissez l'instant dans la vidéo dans l'espoir que l'employé les a au moins partiellement ouverts.
Cryptage des données enregistrées sur le support. Il sera utile à quelqu'un, enfin, et moins de problèmes avec des outils de chiffrement supplémentaires pour les lecteurs flash. Affiner les paramètres des autorisations d'écriture sur le support. Par taille de fichier, par exemple.
Enregistreur de frappeUne coche est apparue, en cliquant sur laquelle vous pouvez arrêter les yeux bandés pendant la surveillance, mais simplement cesser de voir les mots de passe.
Réjouissez-vous des combattants de la liberté et des coureurs du RGPD!
Interception de messagers instantanésL'une des questions les plus populaires, me semble-t-il, des clients. Et ils aiment poser des questions même sur les messageries instantanées qui ne sont pas du tout utilisées dans l'entreprise, ou utilisées par 1 personne. Oh bien.
Alors voilà. Dans la nouvelle CIB, tous nos WhatsApp, chariots et vibres préférés sont interceptés dans les deux versions: Web et bureau. Soit dit en passant, cela, apparemment, est exclusif, en termes de WhatsApp, bien sûr.
Courrier professionnel en mode verrouilléIl existe une prise en charge de tous les protocoles les plus utilisés: IMAP, NNTP, POP3, SMTP, HTTP (S) et MAPI.
L'interception est implémentée pour ce qui précède, notamment en utilisant s \ mime. Le blocage est disponible pour les protocoles sortants, y compris MAPI et s \ mime.
Vidéo de bureau et webcamsUn module de contrôle des images d'une webcam est apparu, c'est-à-dire que chaque incident a désormais un «visage humain». Semblable au format de capture d'écran, vous ne pouvez activer l'enregistrement qu'en conjonction avec certains processus ou même des sites.
LinuxContrôle du trafic sur toute la famille d'Astra Linux, Ubuntu et CentOS. Bientôt, ils promettent d'ajouter un renifleur d'appareil.
AgentsUn de mes préférés.
Contrôle d'agent ajouté. Si, pendant un certain temps, l'agent ne ferme pas le serveur, sa réinstallation démarre.
Et maintenant, l'agent de mise à jour n'a besoin que d'Internet pour se connecter au serveur, et il n'est même plus nécessaire d'être à l'intérieur du réseau d'entreprise.
Centre de rapportsIl n'est plus comme une entité distincte. Alléluia! Et oubliez également la synchronisation constante de ses bases - maintenant elle est cyclique.
Centre de profil
Ses avantages pour moi sont évidents. Pourquoi attraper des incidents post factum si certains d'entre eux peuvent être prévus. Et sachant que votre employé n'est pas juste pour moi du pain et du beurre.
Il m'est difficile de dire comment cela fonctionne dans la technologie, mais visuellement l'onglet avec celui-ci semble très modeste et minimaliste, ce qui signifie que vous n'avez pas à vous soucier des paramètres.
Honnêtement, qui se soucie de la façon dont ces algorithmes fonctionnent là-bas. Les personnes qui ont développé ce produit ont évidemment consacré de nombreuses années au profilage et au travail avec des personnes vivantes. Si des gens qui pouvaient être des super-développeurs et des super-ingénieurs, mais qui ne comprenaient rien à la psychologie, étaient engagés dans un tel développement, alors c'était très étrange.
Il faut tester. Il existe certainement un besoin du marché pour un tel produit, en particulier pour les services de sécurité et une RH très avancée. Eh bien, il n'y a pas de concurrents au moins sur le marché russe de l'UBA et du DLP.
Selon le fournisseur, une moyenne de 1 à 2 mois est nécessaire pour accumuler des données afin de dresser un portrait fiable d'un employé. Oui, comme dans les films, en drainant instantanément le cerveau par l'oreille, cela ne fonctionne toujours pas, si quelqu'un en rêvait.
Vitesse de rechercheJe ne peux rien dire sur la vitesse de la recherche et si quelque chose a changé, vous ne comprendrez pas cela par une analyse visuelle. Le développeur parle de la sortie d'un moteur de recherche fondamentalement nouveau, exempt d'anciens problèmes. Cela s'explique par la nouvelle architecture 64x, qui n'a pas de limitations logicielles (comme c'était le cas dans l'ancien moteur) pour la mémoire, les cœurs et les threads. D'un point de vue technique, cela semble tout à fait raisonnable, mais je ne peux pas moi-même juger de la vitesse réelle. Besoin de données. Beaucoup de vraies données ...
Digérer à nouveau :
- l'interface n'a pas perdu sa simplicité et sa compréhensibilité;
- un client commun avec un rapport s'est marié et a adopté un centre de profil, il s'est avéré être une famille sympathique - la console d'analyse;
- le centre d'alerte ne s'est pas encore rendu et vit dans un appartement séparé;
- LiveView est maintenant dans une fenêtre séparée de la console intégrée;
- l'enregistreur de frappe a abandonné et a activé le mode de blocage de mot de passe;
- les agents ont appris à faire face à la cruauté de ce monde et utilisent maintenant la réinstallation en mode automatique, en surveillant leurs propres performances et autres goodies;
- le centre de profil mystérieux a l'air très sympathique;
- un cliché instantané des données sur une clé USB - pour les agents de sécurité qui sont particulièrement fanatiques de leur travail;
- mentalement préparé pour la transition vers Linux, vous pouvez déjà commencer à vous réjouir;
- atavisme du contrôleur de fichiers réincarné dans un scanner cool avec balisage de données;
- chariots, traîneaux, skis et autres WhatsAps: nous n'avons pas peur de vous, nous vous interceptons dans toutes les poses;
- scan cloud pour ceux qui suivent le temps.
Eh bien, j'ai essayé de récupérer la crème en surface et d'analyser légèrement les principaux changements du CIB.
J'espère que j'aurai l'occasion de plonger plus profondément dans la nouvelle CIB et de vous dire beaucoup de choses plus intéressantes.
Peut-être que nous interviewons même le vendeur avec des questions provocantes et montrons tout ce qui est caché.
Jusqu'à la prochaine fois, dépendant du DLP!
Anna Popova, responsable du DLP Block, Infosecurity, une société Softline